주간동아 1490

..

“SKT 해킹 사태, 중국 배후 ‘사이버 전쟁’ 가능성”

보안 전문가 “돈이 목적이었다면 이미 피해자 생겼어야”

  • 이슬아 기자 island@donga.com

    입력2025-05-26 09:00:02

  • 글자크기 설정 닫기
     SK텔레콤(SKT) 해킹 사태가 국가안보 위기 논란으로까지 번지고 있다. GETTYIMAGES

     SK텔레콤(SKT) 해킹 사태가 국가안보 위기 논란으로까지 번지고 있다. GETTYIMAGES

    SK텔레콤(SKT) 해킹 사태가 개인정보 유출 문제를 넘어 국가안보 위기 논란으로까지 파장을 키우고 있다. SKT 침해사고 민관합동조사단이 2차 조사를 통해 단말기고유식별번호(IMEI) 등 주요 정보의 추가 유출 개연성을 확인한 가운데 사태 배후로 중국 정부와 연계된 해커 조직이 지목되고 있기 때문이다.

    단말기고유식별번호 유출 개연성

    IMEI는 앞선 1차 조사에선 유출되지 않은 정보로 분류됐다. 당시 파악된 악성코드 감염 서버 5대에는 IMEI 정보가 아닌 가입자식별키(IMSI) 2700만여 건 등이 저장돼 있었다. 그러나 2차 조사에서 감염 서버 18대가 추가로 확인됐고, 이 안에 IMEI 약 29만 건이 일정 기간 임시 저장됐던 것으로 드러났다.

    IMSI가 사용자의 통신사 정보·ID·국가를 식별한다면 IMEI는 단말기의 제조사·모델·일련번호를 식별한다(표 참조). IMSI와 IMEI가 함께 탈취되면 사용자의 통신 신분이 도용될 수 있다. 복제폰, 심스와핑(복제한 유심을 다른 스마트폰에 꽂아 범죄 행위를 저지르는 것) 위험이 커지는 것이다. 1차 조사 결과에 IMEI 유출이 없어 “최악은 피했다”는 분석이 나왔으나 다시 SKT 고객들의 불안이 커진 상황이다.

    정부와 SKT 측은 복제폰은 물리적으로 불가능하다고 설명한다. △방화벽 로그 기록이 남아 있지 않은 기간(2022년 6월 15일~지난해 12월 2일)이 있기는 하지만 해당 기간 SKT에 비정상 데이터 흐름이 감지되지 않았고, △IMEI가 새어나갔더라도 복제폰을 만들려면 스마트폰 제조사가 별도 보유하고 있는 단말기 인증값까지 완벽히 위조해야 하며, △복제폰이 만들어진다고 해도 SKT가 최근 기능을 고도화한 비정상인증차단시스템(FDS) 2.0을  모든 고객에게 적용했기에 불법 복제 유심 및 단말기의 통신망 접근을 즉각 차단할 수 있다는 이유에서다.

    2차 조사에서는 해킹 주체가 SKT 통신망에 처음 악성코드를 심은 시점도 최근이 아닌 2022년 6월 15일로 특정됐다. 또 BPF도어(Tip 참조)라는 악성코드 종류, 글로벌 보안업체 분석 등을 고려할 때 레드 멘션(Red Menshen) 같은 중국 APT(정부 연계 해커 조직)가 유력 용의자로 꼽힌다. 다만 3년간 해킹에 따른 개인정보 거래, 금융 범죄 등 2차 피해는 아직까지 보고된 바 없다.



    SKT 통신망 해킹 3년 전 시작돼

    이와 관련해 전문가들은 금전을 노린 단순 범죄가 아니라, 중국 정부 지원을 받는 해커 조직이 국내 통신망을 장기간 들여다봤다는 점이 더 큰 문제라고 지적한다. 대통령실 사이버특별보좌관을 지낸 임종인 고려대 정보보호대학원 교수는 “이번 사태의 성격을 사이버 전쟁으로 재정의해야 한다”며 “(해커 조직의) 목적이 돈이었다면 이미 다크웹에 빼돌린 개인정보가 올라와 피해자가 생겼어야 한다”고 말했다. 이어 임 교수는 “레드 멘션 등 APT는 애초에 사이버 전쟁을 수행하는 해커 조직”이라면서 “중국이 미국 우방인 한국 내부정보를 수집하고, 필요시 해킹한 서버를 터뜨려 금융기관, 항만, 생산시설 등을 마비시키려는 준비를 한 것”이라고 덧붙였다.

    한편 경찰은 해킹 사태에 대한 SKT의 대처가 부적절했다는 논란과 관련해 수사에 착수했다. 앞서 최태원 SK그룹 회장, 유영상 SKT 대표이사 등은 고객 정보 관리를 소홀히 했으며(업무상 배임 및 위계 공무집행 방해), 해킹 사실을 알고도 늑장 대응했다(개인정보보호법 및 정보통신망법 위반)는 이유로 법무법인, 시민단체 등에 의해 고발당했다.

    통신업계 주가에도 지각변동이 감지된다. KT는 SKT 해킹 사태 반사이익과 1분기 호실적, 밸류업 효과를 등에 업고 1998년 상장 이후 처음으로 SKT 주가를 넘어섰다. 5월 20일 SKT는 5만1500원, KT는 5만1900원에 장을 마쳤다. 

    BPF도어
    ‌보안 기능을 우회해 서버 및 시스템에 접근할 수 있도록 설계된 ‘백도어’ 악성코드의 일종이다. 평소에는 잠복해 있다가 해커의 외부 신호(매직 패킷)가 있을 때만 작동해 정보를 탈취하기 때문에 탐지가 어렵다. 한번 침투하면 수개월에서 수년까지 장기 잠복이 가능하다. 레드 멘션(Red Menshen) 등 중국 APT(정부 연계 해커 조직)가 주로 사용하는 해킹 수법으로 알려져 있다.

    *유튜브와 포털에서 각각 ‘매거진동아’와 ‘투벤저스’를 검색해 팔로잉하시면 기사 외에도 동영상 등 다채로운 투자 정보를 만나보실 수 있습니다.

    댓글 0
    닫기