[뉴스웍스=박광하 기자] 과학기술정보통신부가 구성한 민관합동조사단의 SK텔레콤 해킹 사건 조사 결과 해킹이 2021년부터 시작된 것으로 드러났다. SK텔레콤은 해킹 사실을 인지하고도 이를 은폐한 채 자체적으로 해결하려다 피해를 키웠다.

조사 결과 SK텔레콤의 최초 감염 시점은 기존 2022년 6월보다 약 10개월 전인 2021년 8월 6일로 파악됐다. 조사단이 SK텔레콤의 전체 서버 4만2605대를 전수조사한 결과, 총 28대의 서버 감염과 33종의 악성코드를 확인했다. 발견된 악성코드는 BPF도어 27종, 타이니쉘 3종, 웹쉘1종, 오픈소스 악성코드인 크로스시투 1종, 슬리버 1종 등이다. 이는 지난달 2차 조사 발표(감염 서버 23대, 악성코드 25종)보다 늘어난 수치다.

유출된 정보 종류는 음성 통화 인증 서버(HSS) 3대에서 전화번호, 가입자 식별 번호(IMSI), 인증키 값 등 25종의 유심 정보 9.82기가바이트(GB)가 유출됐다. IMSI 기준으로 2700만건에 육박하는 규모다.

해커는 외부 인터넷과 연결된 시스템 관리망 내 서버에 최초 침투해 악성코드(CrossC2)를 설치했다. 해당 서버에는 시스템 관리망 내 서버들의 계정 정보(ID, PW)가 암호화되지 않은 평문으로 저장돼 있었다. 공격자는 이 계정 정보를 활용해 시스템 관리망 내 다른 서버에 접속한 것으로 추정된다. 이어 시스템 관리망 내 평문으로 저장된 계정 정보를 활용해 코어망 내 HSS 관리 서버에 접속한 뒤 HSS 관리 서버와 HSS에 악성코드를 설치했다.

공격자는 코어망 내 HSS 3개 서버에 저장된 유심 정보를 시스템 관리망 내 인터넷 연결 접점이 있는 또 다른 서버를 거쳐 유출했다. 유심 복제에 악용될 수 있는 단말기 식별 번호(IMEI)나 통화 기록(CDR) 등 중요 정보가 일부 감염 서버에 평문으로 임시 저장돼 있었으나, 정밀 분석 결과 해당 정보들의 유출 정황은 없었다. 하지만 방화벽 로그 기록이 남아있지 않은 기간에 대해서는 IMEI나 CDR 유출 여부를 확인하는 것이 불가능하다고 짚었다.

공급망 보안 측면에서도 허점이 발견됐다. 이번 침해 사고와 직접 연관은 없지만, 공급망 보안 관리 취약으로 악성코드 1종이 SK텔레콤 서버 88대에 유입된 사실을 확인했다. 디도스(DDoS) 공격에 사용되는 악성코드지만, SK텔레콤 시스템에서 실행된 흔적은 없는 것으로 파악했다. SK텔레콤 협력업체가 개발한 소프트웨어에 이 악성코드가 감염돼 있었고, 해당 소프트웨어가 SK텔레콤 서버에 설치되며 코드가 유입된 것이라는 설명이다. 조사단은 외부에서 제작한 소프트웨어를 SK텔레콤이 설치하며 보안 검수를 제대로 하지 않은 점은 공급망 보안 관리에 문제점으로 볼 수 있다고 지적했다.

SK텔레콤은 사이버 위협을 발견하고도 이를 신고하지 않고 자체적으로 해결하려 시도했다. 2022년 2월 23일 특정 서버에서 비정상적인 재부팅 현상을 발견해 자체 점검하는 과정에서 악성코드에 감염된 서버 2종을 발견해 조치했지만 이런 사실을 당국에 신고하지 않았다. SK텔레콤은 지난 4월 해킹 피해가 최초로 알려졌을 때도 인지 시점인 18일 오후 11시 20분부터 24시간을 넘겨 한국인터넷진흥원(KISA)에 신고해 늑장 신고라는 비판을 받았다.

SK텔레콤은 당시 점검 과정에서 이번 침해 사고가 발생한 HSS 관리 서버에서 비정상 로그인 시도를 발견·점검했다. 하지만 로그기록 6개 중 1개만 확인하면서 공격자가 서버에 접속한 기록은 확인하지 못했다. 조사단은 이 때문에 정보 유출이 발생한 HSS 등 서버에서 악성코드를 확인하지 못했으며, 침해 사고 미신고로 정부 조사를 통한 악성코드 발견과 조치가 이뤄질 수 없었다고 지적했다.

서버 로그인 ID/PW를 안전하게 관리해야 하지만, SK텔레콤은 이번 침해 사고가 발생한 HSS 관리 서버의 계정 정보를 타 서버에 평문으로 저장했던 것으로 확인됐다. 정보보호 관리체계 인증기준 안내서는 종이, 파일, 모바일 기기 등에 비밀번호 기록·저정하는 것을 제한하고 있으며, 부득이하게 기록·저장 시 암호화 등 보호 대책을 요구하고 있다.

세계이동통신사업자협회(GSMA)가 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키 값 암호화를 권고해 KT, LG유플러스 등 다른 통신사가 이를 적용했지만, SK텔레콤은 이 조치를 적용하지 않았다.

조사단은 CDR을 임시 저장 서버에 저장한 점, 최고정보보호책임자(CISO)가 시스템 관리망, 코어망 등 네트워크 영역이 아닌 고객 관리망 등 정보기술(IT) 영역의 보안 관리만 담당한 점도 정보보호 활동 소홀이라고 지적했다.

조사단은 재발 방지 대책으로 서버 등 네트워크가 연결되는 장치에서 일어나는 모든 활동을 감지·분석하는 EDR이나 백신 도입 확대, 제로 트러스트 도입, 분기별 1회 모든 자산에 대한 정기 점검 등 보안 관리 강화, 외부 조직·서비스의 위험에 대한 보호 대책 마련 등 공급망 보안 체계 구축, 전사 정보보호 정책을 총괄 관리할 수 있도록 CISO를 최고경영자(CEO) 직속 조직으로 강화할 것을 요구했다.

조사단은 SK텔레콤이 자체 보안 규정에 따라 로그 기록을 6개월 이상 보관해야 하지만 방화벽 로그를 4개월간만 보관해 중요 정보의 유출 여부를 면밀히 조사하는 데 한계가 있었다고 지적했다. 이에 로그 기록의 6개월 이상 보관, 중앙 로그 관리 시스템 구축 등을 요구했다.

SK텔레콤이 서버 등 전체 자산 종류, 규모, 유휴·폐기 여부를 체계적으로 관리하지 않던 점, 다른 통신사 대비 정보보호 인력 및 투자 규모가 부족한 점도 문제로 꼽았다.