(서울=뉴스1) 김정현 기자 = SK텔레콤(017670) 유심 정보를 탈취한 해커들이 대략 1년 전부터 서버에 침입했다는 분석이 나온다. 정보 탈취가 장기간 이어졌다면 피해가 상당할 것으로 우려된다.
23일 보안업계 전문가들은 해커들의 SK텔레콤 서버 침입이 약 1년 전에 이뤄진 것으로 추정하고 있다. 아직 조사가 진행 중이지만, 이번 SK텔레콤의 해킹 원인으로는 사내 네트워크(내부망)에 사용되는 가상사설망(VPN)의 취약점 공격이 유력한 상황이다.
VPN은 공용 네트워크에서 분리된 내부망에 접속할 수 있도록 도와주는 보안 서비스를 말한다. VPN이 해킹에 악용되는 사례는 급증하는 추세다.
한 보안업계 관계자는 "SK텔레콤 건도 VPN 취약점을 악용하거나 암호화를 뚫고 계정을 확보한 뒤, 악성코드를 심어 데이터를 유출하는 지능형 지속 공격(APT)을 받았을 것으로 보인다"며 "악성코드가 정상적인 파일로 위장하고 서버에 장기간 은닉하며 데이터를 탈취하는 특성상, 침투 시점은 상당히 이전일 것"이라고 분석했다.
이번 사건에서 해커들은 SK텔레콤의 홈가입자서버(HSS)에 악성코드를 심어놓고 유심 인증키값 및 단말기고유식별번호(IMEI), 전화번호 등 유심 정보를 탈취했다.
SK텔레콤이 유심 정보 유출 정황을 발견하고 악성코드를 삭제한 건 지난 19일이다. 해커들이 SK텔레콤 서버에 최소 1년 전에는 악성코드를 심었다는 분석이 나오는 만큼 대규모 정보 유출 우려를 배제할 수 없다.
SK텔레콤 측은 현재까지 유출된 유심 정보가 다크웹 등에 유통되거나 악용된 사례는 없는 것으로 확인됐다고 설명했다. 일각에서는 이번 해킹을 북한 또는 중국이 주도했을 가능성도 언급된다.
해커들은 보통 랜섬웨어나 가상자산 해킹 등을 통해 돈을 번다. 그런데 SK텔레콤을 해킹하는데 투입한 노력에 비해 고객 데이터를 다크웹에 매각하는 정도로는 수지가 맞지 않는다. 북한이나 중국의 조직적인 개입이 의심되는 배경이다.
임종인 고려대 정보보호대학원 교수는 "SK텔레콤 같은 기업을 뚫으려면 투자도 많이 하고 공작에도 몇달은 걸렸을텐데, 개별로는 별로 쓸모없는 유심 정보만 갖고 나갔다는 건 이해하기 어렵다"고 설명했다.
임 교수는 "유심 서버를 해킹할 역량이 있다면 다른 서버 역시 안심할 수는 없다"며 "유심 정보와 결합할 수 있는 정보들의 유출 여부를 면밀히 살피고, 능동적인 소비자 보호 대책을 세울 필요가 있다"고 했다.
SK텔레콤은 사건 발생이 알려진 직후, 자사 홈페이지에 유심 복제를 막기 위한 유심 보호서비스를 무료로 제공한다고 공지했다. 공지 하루 만에 유심보호서비스에는 7만 2000명이 신규 가입했다.
다만 더 적극적이고 능동적인 소비자 보호대책의 요구가 커지자 SK텔레콤은 23일 전 고객들에게 '유심보호서비스' 가입 권장 문자(MMS)를 보내기로 했다. 안내 문자는 SK텔레콤 이동통신 가입자 전 회선에 순차 발송된다.
SK텔레콤은 "이같은 일이 재발하지 않도록 보안 체계를 더욱 강화하고, 고객 정보 보호 방안 마련에도 최선을 다하겠다"고 말했다.
