SK텔레콤 해킹 사건에 대한 민관 합동 조사 결과, 해커의 침투는 2021년부터 시작됐으며, SKT가 2022년 침해 사실을 인지하고도 적절한 대응을 하지 않아 피해가 커진 것으로 나타났다.
4일 과학기술정보통신부 주도로 구성된 민관 합동 조사단은 지난 4월부터 SKT 서버 4만2600대를 전수 조사한 결과를 발표했다. 조사에 따르면 해커는 2021년 8월 6일 처음으로 악성코드를 심은 뒤, SKT의 내부 네트워크를 타고 핵심 서버까지 침투했다.
암호화되지 않은 관리 계정 통해 침투
해커는 외부와 연결된 시스템 관리망 내 서버를 통해 진입했고, 이 과정에서 암호화되지 않은 관리 계정 정보를 획득해 다른 서버로 침입했다. 이들은 같은 해 12월, 음성통화 인증을 담당하는 핵심 서버(HSS)에 접속해 ‘BPFDoor’ 등 총 33종의 악성코드를 설치했다.
특히, 지난 4월에는 HSS 3개 서버에 저장된 유심(USIM) 정보 9.82GB를 외부로 유출한 정황도 확인됐다. 이는 전체 가입자의 유심 정보에 해당하는 양이다.
조사단은 또 별도의 협력업체가 개발한 소프트웨어를 통해 공급망 보안에도 구멍이 있었다고 밝혔다. 해당 소프트웨어가 악성코드에 감염된 상태로 SKT 서버에 설치됐지만, 다행히 실행 흔적은 발견되지 않아 직접적인 피해는 없었다.
2022년 이상 징후 감지에도 침묵
SK텔레콤은 2022년 2월 특정 서버의 비정상 재부팅을 발견하고 자체 점검 과정에서 악성코드를 확인했지만, 당국에 신고하지 않았다. 이로 인해 3000만원 이하 과태료 처분 대상이 됐다. 당시 핵심 서버에서 비정상 로그인 시도를 인지하고도 로그 6개 중 1개만 분석해 공격 여부를 놓쳤다는 점도 지적됐다.
조사단은 SKT가 ▲ 서버 계정 비밀번호 만료 설정 누락 ▲ 다중 인증 미도입 ▲ 유심 인증키(Ki) 암호화 미적용 등 기본적인 보안 관리체계에도 미흡했다고 비판했다. 특히 조사단의 자료 보전 명령 이후에도 서버 2대를 포렌식 불가능한 상태로 제출한 점은 수사의뢰 사안으로 판단했다.
개인 정보 유출은 확인 안돼
조사 결과, 통화기록(CDR)이나 단말기식별번호(IMEI) 등 주요 개인정보 유출 정황은 2023년 12월 3일부터 사고가 드러난 시점까지는 발견되지 않았다. 하지만 악성코드 감염이 시작된 2022년 6월부터 2023년 12월 2일까지는 로그가 남아 있지 않아 유출 여부를 확인할 수 없는 ‘블라인드 존’이 발생했다.
이에 따라 일부에서는 정치인이나 고위공직자의 통신 내역을 겨냥한 국가 차원의 조직적 해킹 가능성을 제기하고 있으나, 사실 규명은 난항을 겪고 있다.
조사단은 SKT가 방화벽 로그를 자체 규정(6개월 이상 보관)과 달리 4개월만 유지한 점, 중앙 로그 관리 체계 미비, 전체 자산의 체계적 관리 부재, 경쟁사 대비 정보보호 인력 및 투자 부족 등도 문제로 지적했다.
정부, 고객 위약금 면제 권고
과기정통부는 SK텔레콤의 보안 관리상 과실을 인정하고, 의무 가입기간이 남은 고객이 계약을 해지할 경우 위약금을 면제할 것을 요구했다. 또한 SKT에 이달 안으로 재발 방지 이행 계획 제출을 요청했으며, 연말 점검 결과에 따라 시정명령도 검토하겠다고 밝혔다.
정부는 이번 사례를 계기로 민간 정보보호 거버넌스 강화와 투자 확대를 위한 제도 개선 방안을 국회와 함께 마련하겠다고 덧붙였다.