SK텔레콤(SKT) 해킹 사태가 국가안보 위기 논란으로까지 번지고 있다. GETTYIMAGES
단말기고유식별번호 유출 개연성
IMEI는 앞선 1차 조사에선 유출되지 않은 정보로 분류됐다. 당시 파악된 악성코드 감염 서버 5대에는 IMEI 정보가 아닌 가입자식별키(IMSI) 2700만여 건 등이 저장돼 있었다. 그러나 2차 조사에서 감염 서버 18대가 추가로 확인됐고, 이 안에 IMEI 약 29만 건이 일정 기간 임시 저장됐던 것으로 드러났다.IMSI가 사용자의 통신사 정보·ID·국가를 식별한다면 IMEI는 단말기의 제조사·모델·일련번호를 식별한다(표 참조). IMSI와 IMEI가 함께 탈취되면 사용자의 통신 신분이 도용될 수 있다. 복제폰, 심스와핑(복제한 유심을 다른 스마트폰에 꽂아 범죄 행위를 저지르는 것) 위험이 커지는 것이다. 1차 조사 결과에 IMEI 유출이 없어 “최악은 피했다”는 분석이 나왔으나 다시 SKT 고객들의 불안이 커진 상황이다.
2차 조사에서는 해킹 주체가 SKT 통신망에 처음 악성코드를 심은 시점도 최근이 아닌 2022년 6월 15일로 특정됐다. 또 BPF도어(Tip 참조)라는 악성코드 종류, 글로벌 보안업체 분석 등을 고려할 때 레드 멘션(Red Menshen) 같은 중국 APT(정부 연계 해커 조직)가 유력 용의자로 꼽힌다. 다만 3년간 해킹에 따른 개인정보 거래, 금융 범죄 등 2차 피해는 아직까지 보고된 바 없다.
SKT 통신망 해킹 3년 전 시작돼
이와 관련해 전문가들은 금전을 노린 단순 범죄가 아니라, 중국 정부 지원을 받는 해커 조직이 국내 통신망을 장기간 들여다봤다는 점이 더 큰 문제라고 지적한다. 대통령실 사이버특별보좌관을 지낸 임종인 고려대 정보보호대학원 교수는 “이번 사태의 성격을 사이버 전쟁으로 재정의해야 한다”며 “(해커 조직의) 목적이 돈이었다면 이미 다크웹에 빼돌린 개인정보가 올라와 피해자가 생겼어야 한다”고 말했다. 이어 임 교수는 “레드 멘션 등 APT는 애초에 사이버 전쟁을 수행하는 해커 조직”이라면서 “중국이 미국 우방인 한국 내부정보를 수집하고, 필요시 해킹한 서버를 터뜨려 금융기관, 항만, 생산시설 등을 마비시키려는 준비를 한 것”이라고 덧붙였다.한편 경찰은 해킹 사태에 대한 SKT의 대처가 부적절했다는 논란과 관련해 수사에 착수했다. 앞서 최태원 SK그룹 회장, 유영상 SKT 대표이사 등은 고객 정보 관리를 소홀히 했으며(업무상 배임 및 위계 공무집행 방해), 해킹 사실을 알고도 늑장 대응했다(개인정보보호법 및 정보통신망법 위반)는 이유로 법무법인, 시민단체 등에 의해 고발당했다.
통신업계 주가에도 지각변동이 감지된다. KT는 SKT 해킹 사태 반사이익과 1분기 호실적, 밸류업 효과를 등에 업고 1998년 상장 이후 처음으로 SKT 주가를 넘어섰다. 5월 20일 SKT는 5만1500원, KT는 5만1900원에 장을 마쳤다.
BPF도어
보안 기능을 우회해 서버 및 시스템에 접근할 수 있도록 설계된 ‘백도어’ 악성코드의 일종이다. 평소에는 잠복해 있다가 해커의 외부 신호(매직 패킷)가 있을 때만 작동해 정보를 탈취하기 때문에 탐지가 어렵다. 한번 침투하면 수개월에서 수년까지 장기 잠복이 가능하다. 레드 멘션(Red Menshen) 등 중국 APT(정부 연계 해커 조직)가 주로 사용하는 해킹 수법으로 알려져 있다.
