(서울=뉴스1) 나연준 기자 = SK텔레콤(017670) 서버에서 발견된 악성코드가 약 3년 전 심어진 것으로 드러났다. 장기간에 걸쳐 조직적으로 시도한 정황이 나타나면서 중국, 북한 등이 이번 해킹 사태 배후에 있다는 의혹이 나온다.

탈취한 정보를 블랙마켓에 판매하는 등 일반적인 해커 집단이 시도하는 수익화 전략이 없어서다. 이 경우 국가 중요 정보를 방어하는 정보전 차원에서 이번 해킹 사태를 분석해야 한다는 의견이 나온다.

SK텔레콤 침해사고 민관합동조사단은 19일 정부서울청사에서 2차 조사결과 발표를 가지고 악성코드 총 25종(BPF도어 계열 24종, 웹셸 1종)이 발견됐다고 공개했다.

악성코드가 처음 SK텔레콤 서버에 심어진 것은 2022년 6월 15일이다.

유출된 유심(USIM) 정보 규모는 9.82기가바이트(GB), 가입자 식별키(IMSI) 기준 2695만7749건이다. 조사단에 따르면 단말기 고유식별번호(IMEI)와 이름, 생년월일, 전화번호 이메일 등 개인정보 등이 담긴 파일이 저장되는 임시 관리 서버 2대도 악성코드에 감염된 것으로 확인됐다.

아직 누가, 어떤 목적으로 SK텔레콤에 악성코드를 심었는지 밝혀지지 않았다. 다만 국가 기간 통신망의 역할을 하는 SK텔레콤을 장기간에 걸쳐 해킹을 시도한 점, 아직 특별한 금전 요구가 없었다는 점 등을 고려하면 중국, 북한 등 해커 집단이 정치적 목적을 갖고 시도한 것 아니냐는 분석도 나온다.

특히 이번 해킹에 사용된 BPF도어 계열 악성코드는 3년 전 중국 정부 후원을 받는 것으로 알려진 해커 집단 레드 멘션(Red Menshen)이 주로 사용하는 수법이다.

미국 정보보안 기업 트렌드마이크로는 지난 4월 14일 보고서에서 레드 멘션이 BPF도어를 활용해 한국을 포함한 아시아, 중동 지역의 통신사, 금융 등 주요 인프라를 겨냥하고 있다고 경고하기도 했다.

2024년 7월과 12월에는 한국의 한 통신사 서버를 공격했다고도 부연했다.

대만의 사이버 보안기업 TeamT5도 지난달 중국과 연계된 APT(지능형 지속위협) 해킹 그룹이 이반티 VPN 장비의 취약성을 노리고 한국을 비롯한 여러 국가 기관에 침투했다고 언급했다.

SK텔레콤 해킹이 중국 또는 북한 후원을 받는 단체가 주도한 것이라면 미중 사이버 첩보전과 연관이 있을 수도 있다.

지난해 12월 미국은 중국 해커 조직 '솔트 타이푼(Salt Typhoon)'이 최소 8개의 미국 통신사를 해킹한 사실을 밝히기도 했다. 월스트리트저널(WSJ)은 최근 지난해 12월 당시 미중 고위급 회담에서 미국에서 일어난 일련의 해킹이 미국이 대만을 군사적으로 지원한 결과라는 점을 시사했다고 보도한 바 있다.

한국은 미국의 핵심 우방국으로 미국의 인도·태평양 전략에서 중요한 역할을 한다. 이 때문에 우리나라가 중국의 주요 해킹 타깃이 됐다는 분석이 있다.

정부도 다양한 가능성을 열어두고 이번 사태를 면밀히 조사할 계획이다.

류제명 과학기술정보통신부 네트워크정책실장은 "상업적, 경제적 목적으로 특정 데이터베이스를 탈취하고 다크웹 등에서 거래를 시도하는 것과 양상이 다르다"며 "자료 탈취 목적인지, 다음 단계의 공격 거점으로 지켜보다가 더 깊숙한 곳으로 침투하기 위한 거점인지 등 면밀하게 보고 있다"고 말했다.

yjra@dqdt.shop