류제명 과학기술정보통신부 2차관이 4일 정부서울청사에서 SK텔레콤 해킹 사태 관련 최종 조사결과를 발표하고 있다. 연합뉴스
SK텔레콤(SKT)이 4년 전인 2021년 8월부터 해킹 공격을 받았고, 2022년 해킹 흔적을 발견할 기회가 있었음에도 신고 없이 자체 조치로 사고를 막을 기회를 놓쳤다는 사실이 정부 조사 결과 확인됐다. 정부는 이번 SKT 유심(USIM·가입자 식별 모듈) 해킹 사고의 귀책이 SKT에 있다고 보고, SKT가 이용자들의 계약 해지 위약금을 면제해 줘야 한다는 판단을 내놨다.
무슨 일이야 4일 과학기술정보통신부(과기정통부)는 SKT 유심 해킹 사태에 대한 민관합동조사단(조사단)의 최종 조사 결과를 발표했다. 조사단이 SKT 전체 서버 4만 2605대를 대상으로 6차례에 걸쳐 조사한 결과, 감염된 서버 총 28대에서 BPF도어 27종을 포함한 악성코드 33종이 발견됐다. 지난 5월 발표한 2차 조사와 비교했을 때 감염 서버는 5대, 악성코드는 8종이 추가로 늘었다. 이번 해킹으로 전화번호·IMSI(가입자식별번호) 등 25종의 유심 정보 9.82GB(기가바이트)가 유출됐다. IMSI 기준 약 2696만 건으로 사실상 전체 SKT 가입자의 정보가 포함된 규모다.
정부는 추가 피해 가능성에 대해서는 낮다고 판단했다. 류제명 과기정통부 제2차관은 이날 브리핑에서 “(1·2차 조사와 마찬가지로) 유심 복제로 인한 추가 피해 가능성은 발견하지 못했다”면서 “29만 건의 IMEI(단말기 고유식별번호) 등이 저장돼 있던 고객 관리망의 경우도 로그 기록이 있는 기간(약 5개월)에는 유출 정황이 없었다”고 말했다. 다만 로그 기록이 남아 있지 않은 기간(약 2년 반)의 유출 여부를 확인하는 것은 불가능한 상황이다. 류 차관은 이에 대해 “그런(유출 여부를 확인할 수 없는) 불안감 때문에 사업자(SKT)도 유심보호서비스와 FDS(비정상 인증 차단 시스템)고도화 작업을 서둘렀던 것으로 안다”고 설명했다.
서울 종로구 SK텔레콤 대리점 모습. 뉴스1
“위약금 면제해야”…SKT의 과실은 이번 최종 발표에서 정부는 SKT가 가입자들의 위약금을 면제해 줘야 한다고 판단했다. 류 차관은 “이번 사고에서 SKT의 과실이 발견된 점, SKT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때 SKT 이용 약관상 회사의 귀책사유에 해당한다”고 말했다. 이번 조사에서 SKT가 주요 정보를 암호화하지 않았고, 과거 침해 사고가 있었음에도 신고 없이 자체 조치하는 등 보안 시스템을 부실하게 관리했다는 점이 드러났기 때문이다. “4년 전 최초 침투” 해커가 SKT 내부 서버에 최초로 악성코드를 심은 시점은 2021년 8월 6일로 추정된다. 외부 인터넷과 연결된 시스템 관리망 내 서버를 통해 최초 침투했다. 해당 서버엔 핵심 네트워크인 HSS(음성통화인증) 관리 서버로 들어갈 수 있는 계정 정보가 암호화되지 않은 채로 저장돼 있었다. 유심 복제에 활용될 수 있는 ‘인증키’ 정보도 암호화하지 않고 저장되고 있었다. 해당 정보는 세계이동통신사업자협회(GSMA)가 암호화를 권고하고 있으며 타 통신사(KT, LGU+)는 현재 암호화해 저장하고 있다.
신재민 기자
침해 사고가 발생했음에도 신고 없이 부실하게 조치한 점도 드러났다. 조사단에 따르면, SKT는 2022년 2월 23일 특정 서버에서 비정상 재부팅이 발생했지만 당국에 신고 없이 자체 조치했다. 정보통신망법은 침해 사고 인지 후 즉시(2024년 8월부터는 ‘24시간 내’) 당국에 신고해야 한다는 의무를 규정하고 있다. 자체 조치를 하는 과정에서도 감염된 HSS 관리서버에 대한 로그기록 6개 중 1개만 확인해 해킹 발견의 골든타임을 놓쳤다. 류 차관은 “SKT가 나머지 5개의 로그기록도 점검했다면, 당시 이미 BPF도어 악성코드에 감염되어 있었던 HSS 관리서버에 공격자가 접속한 것을 확인할 수 있었을 것”이라고 말했다.
정보통신망법 위반 사항도 있다고 지적했다. 과기정통부는 해킹 사고 이후 SKT의 신고가 규정보다 하루 정도 더 늦어진 것에 대해 3000만원 이하의 과태료를 부과할 수 있다고 밝혔다. 또 자료 보전 명령에도 SKT가 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치 후 조사단에 제출했다며 수사기관에 수사를 의뢰할 방침이라고 밝혔다.
앞으로는 과기정통부는 SKT에 재발 방지 대책에 따른 이행 계획을 7월 중 제출토록 할 계획이다. SKT는 이날 정부 브리핑이 끝난 직후 “이사회 긴급 논의를 통해 4월 19일부터 7월 14일 사이 SKT 가입을 해지한 고객들에 대해 위약금을 전액 면제한다”고 밝혔다.
팩플: 사이버 위협 팩플은 지금 가장 뜨거운 기술 비즈니스, 그리고 IT 기업에 대해 놓치지 말아야 할 이야기를 쉽게 풀어드립니다. 4년 전 시작된 SKT 해킹, 왜 아직까지 몰랐나. 사이버 위협의 현주소가 궁금하시다면 링크를 복사해 주소창에 붙여넣으세요.
IT강국은 왜 해킹 호구됐나…한국 뒤흔든 ‘APT 부대’ 정체
https://www.joongang.co.kr/article/25339524
영국 BBC도 도움 요청했다…‘딥페이크 범죄’ 잡는 韓교수
https://www.joongang.co.kr/article/25344739
제주도 간 딸 “엄마, 살려줘”…손발 묶인 납치 영상의 진실
https://www.joongang.co.kr/article/25331123