권한 없는 CISO, 이원화된 보안 책임
3년간 25종 악성코드 탐지 못했다
 |
| 유심정보 유출 사태를 수습 중인 SK텔레콤이 해외 로밍 고객을 포함한 전체 사용자의 유심 보호 서비스 가입을 완료했다고 발표한 14일 서울 시내 한 SKT 매장에 유심보호서비스 관련 안내문이 표시돼 있다. (사진-연합뉴스) |
[알파경제=이준현 기자] SK텔레콤 해킹 사태가 당초 발표보다 훨씬 심각한 것으로 드러났다.
19일 민관합동조사단이 발표한 2차 조사결과에 따르면 감염 서버가 5대에서 23대로 급증했고, 2695만여 건의 대규모 개인정보가 유출됐다.
여기에 단말기 고유식별번호(IMEI) 29만여 건 추가 유출 가능성까지 확인됐다.
◇ 당초 발표보다 심각한 피해 규모
조사단은 이날 총 23대 서버가 악성코드에 감염됐다고 밝혔다.
1차 발표 때 5대에서 4배 이상 늘어난 것이다. 이 중 15대는 포렌식 분석을 완료했고, 나머지 8대는 5월 말까지 분석을 마칠 예정이다.
실제 유출 규모도 충격적이다. 가입자 식별번호(IMSI) 기준으로 무려 2695만7749건의 정보가 유출된 것으로 확인됐다.
이는 SKT 전체 가입자 수 2300만명을 훌쩍 넘어서는 규모로, 스마트워치와 IoT 기기 등에 탑재된 유심까지 포함된 수치다.
특히 기존 "유출되지 않았다"고 발표했던 IMEI 정보의 유출 가능도 드러났다.
감염된 서버 중 2대에서 29만1831건의 IMEI와 함께 이름, 생년월일, 전화번호, 이메일 등 민감한 개인정보가 발견됐다.
이들 서버는 통합고객인증 서버와 연동되는 곳으로, 일정 기간 개인정보를 임시 저장하는 기능을 수행했다.
조사단은 방화벽 로그가 남은 2024년 12월 3일부터 올해 4월 24일까지는 정보 유출이 없었다고 밝혔다.
다만, 조사단은 설령 IMEI 정보가 유출됐다 해도 복제폰이 발생할 수 없다고 설명했다.
하지만 최초 악성코드 설치 시점인 2022년 6월 15일부터 2024년 12월 2일까지는 로그가 남아있지 않아 유출 여부를 확인할 수 없다고 했다.
 |
| 최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관합동 조사결과 2차 발표 브리핑을 하고 있다. (사진=연합뉴스) |
◇ 보안 홀대가 피해 키웠나
SKT의 보안 투자 실태를 보면 이번 대참사가 예견된 것이었음을 알 수 있다.
2024년 SKT의 정보보호 투자액은 600억원으로, 같은 해 AI 사업에 투입한 6000억원의 10분의 1 수준이었다. 경쟁사 KT(1218억원)의 절반에도 못 미치는 수준이다.
가입자 1명당 정보보호 투자액도 SKT 2400원, KT 6700원, LG유플러스 4000원으로 현저한 차이를 보였다. SKT는 2022년 대비 2023년 정보보호 투자를 4.4% 줄인 반면, KT와 LG유플러스는 각각 19.2%, 116.4% 늘렸다.
영업이익 대비 정보보호 투자 비중도 SKT 3.29%, KT 15%, LG유플러스 7.34%로 격차가 컸다.
 |
| 유영상 SK텔레콤 대표이사(가운데)가 25일 서울 중구 SKT타워 수펙스홀에서 SK텔레콤 이용자 유심(USIM) 정보가 해커 공격으로 유출된 것과 관련해 고개 숙여 사과하고 있다. (사진=연합뉴스) |
◇ 권한 없는 CISO, 이원화된 보안 책임
SKT 보안 체계의 구조적 문제도 드러났다.
최고정보보호책임자(CISO)가 존재했지만 실질적인 네트워크 보안 권한은 네트워크운용본부 산하 인프라보안팀이 담당했다. CISO는 정책적 역할에만 국한됐다.
또 SKT는 올해 들어 대표 주관 정보보호 회의를 단 한 차례도 열지 않았다.
글로벌 보안업체 트렌드마이크로가 2024년 7월과 12월 두 차례에 걸쳐 한국 통신사 대상 BPF도어 공격 가능성을 경고했지만 이를 인지하지 못했다.
정보보호 전담 인력 구성도 허술했다. KT는 전담인력이 336.6명인 반면 SK텔레콤은 222.4명을 배치하는 데 그쳤다.
 |
| 최태원 SK그룹 회장이 7일 서울 중구 SKT타워에서 열린 유심 정보 유출 관련 일일 브리핑에 참석 |
◇ 3년간 25종 악성코드 탐지 못했다
조사단은 이번에 총 25종의 악성코드를 발견했다고 밝혔다.
1차 조사에서 확인된 BPF도어 계열 4종에서 시작해 지속적으로 추가 발견된 것이다.
최초 악성코드가 설치된 시점은 2022년 6월 15일로 추정된다. 3년이라는 장기간에 걸친 SKT에 대한 해킹 공격과 피해 규모가 방대하다는 점에서 개별 기업 수준을 넘어 국가 안보 차원에서 대책을 마련해야 할 문제로도 지적된다.
특히 이번 해킹에 사용된 BPF도어 악성코드는 기존 보안 솔루션으로는 원천적으로 탐지가 불가능했다.
별도 포트를 열지 않고 '매직 패킷'이라는 특정 패턴에만 반응하며, 커널 수준에서 작동해 사용자 공간 기반 보안 솔루션으로는 감지하기 어렵다.
SKT는 해킹 당한 서버에 EDR(엔드포인트 탐지 및 대응) 같은 기본 보안 프로그램조차 설치하지 않았다. 시그니처 기반 탐지에만 의존했던 구시대적 보안 체계로는 BPF도어를 막을 수 없었던 것이다.
SK텔레콤은 해커가 악성코드를 심어 놓은 3년여 기간 동안 이를 발견하지 못했다는 지적에 대해 "사고 이후에 인지를 한 게 맞다"며 "수행해야 할 보안 조치 미흡 부분은 조사단이 심도있게 확인 중으로, 분석이 완료된 뒤 발표될 것"이라고 말했다.
최태원 SK그룹 회장은 사태 이후 "지금까지 보안을 정보통신 부문만의 영역이라 생각하고 전담팀에만 의지했다"고 인정했다.
하지만 SKT는 여전히 보안 투자 확대 계획을 묻는 질문에 "민관합동조사단 조사 결과가 나온 후 수립하겠다"며 소극적 태도를 보이고 있다.
이번 사태는 국내 1위 통신사업자로서 SKT가 보안을 '비용'으로만 인식했던 경영 철학의 한계를 적나라하게 드러낸 모습이다.
알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)
