[뉴스웍스=박광하 기자] 박용규 한국인터넷진흥원(KISA) 디지털위협대응본부 위협분석단장이 지난 4월 알려진 SK텔레콤 내부 시스템 해킹과 이에 따른 대규모 고객 유심(USIM) 정보 유출에 대해 분석하면서 과거 교훈을 잊은 대가라고 비판했다. SK텔레콤이 과거 해킹 피해 사례를 반면교사로 삼아 재발 방지책을 마련하는 등의 노력을 하지 않았기 때문에 이번 사건이 벌어졌다는 뜻으로 풀이된다.

박 단장은 9일 서울 용산구 서울드래곤시티호텔에서 열린 '제14회 정보보호의 날 기념식'의 부대행사인 '정보보호의 현재와 미래 컨퍼런스'에서 이같이 발표했다.

◆과거를 잊으면 과거가 반복된다

박 단장은 SK텔레콤 침해 사고에 대해 "지난 2023년 대형 통신사 침해 사고에서 얻은 교훈을 되새기게 한다"고 말했다. 이는 당시 LG유플러스의 대규모 고객정보 유출 사건을 언급한 것으로 보인다.

그는 "당시 해당 통신사의 경우 라우터 등 내부 자원이 외부로 노출돼 해커의 분산서비스거부(DDoS) 공격으로 망 장애가 발생했고, 내부 데이터 이동 모니터링 미흡으로 대규모 데이터 유출 사실조차 파악하지 못했다"고 말했다. 이어 "내부 자산 식별 및 관리 미흡으로 개발 서버가 인터넷 네트워크에 연결된 상태를 파악하지 못하는 등 복잡한 자산 운영이 원인"이라고 지적했다.

그는 SK텔레콤의 최근 해킹, 개인정보 유출 사건에 대해 과거 사례에서 얻은 교훈을 되짚어 볼 필요가 있다고 짚었다. 그러면서 기업들이 ▲공격 평면 관리 ▲내부 비정상 행위 탐지·차단 체계 운영 ▲내부 운용 자산 식별·관리 ▲충분한 보안 투자에 대한 질문에 직면했다고 봤다. 더불어 "많은 사람이 정보 유출의 파급 효과에 관심을 갖지만, 보안 전문가는 사고의 원인을 파악하고 재발 방지에 집중해야 한다"는 시각을 드러냈다.

◆SKT, 외부서 접근 가능한 '이상한 폐쇄망' 운영

SK텔레콤 조사 결과를 두고 폐쇄망 내 데이터 유출, 은닉성 강한 악성코드 발견, 내부 모니터링 미흡, 복잡한 네트워크 환경, 수많은 통신 장비 등이 특징이었다고 말했다. 특히 BPF도어와 같은 은닉성 강한 악성코드의 존재로 전체 상황 파악에 어려움이 있었다고 덧붙였다.

침해 사고 과정은 크게 3단계로 이뤄졌다. 첫 단계에서 공격자는 초기 침투 단계에서 공격자는 특정 관리망 서버에 접속했다. 이 관리망은 공인 아이피(IP)가 설정돼 외부 접속 지점을 갖고 있었다. 관리망을 통해 폐쇄망인 코어망과 연결될 수 있는 고리가 만들어져 있었기 때문에 해당 폐쇄망은 '무늬만 폐쇄망'이었다는 게 박 단장의 지적이다.

SK텔레콤은 매우 복잡한 네트워크 환경을 가지고 있어 접근 제한 네트워크에 접속할 가능성이 있었다. 통신 인프라의 트래픽 흐름을 제어하고 보안을 강화하는 '네트워크 세그멘테이션' 기능에도 불구하고 광범위한 통신망을 제대로 제어할 정책이 적용되지 않았다는 것이다. 아무리 좋은 기능이 있더라도 이를 제대로 활용하지 못하면 쓸모가 없다는 '개 발에 편자'라는 지적이다.

초기 침투 시 해커는 BPF도어를 처음부터 사용하지 않고, 대상 시스템의 환경이나 보안 체계를 알 수 없으므로 다양한 모의 해킹 기능을 가진 악성코드를 사용했다. 이를 통해 취약점을 기반으로 한 지속적인 공격을 시도했고, 침투 수단이 확보되면 내부로 침입했다.

내부 침입 후에는 필요한 추가 악성코드를 설치했다. 초반에는 고수준의 악성코드를 사용하다가 이후에는 BPF도어와 같이 은닉성이 강하고 가벼운 악성코드를 통해 언제든지 공격할 수 있는 환경을 지속적으로 확보했다.

둘째 단계에서는 거점 확보를 통해 고객 관리망에 침투해 고객 정보에 대한 추가 정보를 수집했다. 마지막 감염 확산 단계에서는 BPF도어 등 악성코드를 계속 설치해 추가 서버를 확보했다. 그 결과 공격자는 지난 4월 18일 코어망에 있는 홈가입자서버(HSS)에 저장된 유심 정보 약 2695만여건, 9.82기가바이트(GB) 분량의 데이터를 외부로 유출해 목적을 달성한 것으로 보인다고 봤다.

박 단장은 "이번 사고에서 해커의 목적은 정보 수집에 있었던 것으로 판단된다"며 "사용된 악성코드의 특징을 봐도 네트워크 무력화 목표보다는 정보 수집과 침투 수단 확보가 주 목표였던 것"이라고 분석했다.

◆옛날 악성코드 재탕했는데도 몰라

박 단장은 SK텔레콤 사고의 주요 문제점과 개선 방안에 대한 조사단의 결론에 대해서도 의견을 내놨다.

먼저 중요 시스템 접근 계정 정보가 몇 년 동안 동일한 계정명과 비밀번호를 계속 사용하고 있었다는 사실을 지적했다. 정기적인 패스워드 변경 등 기초적인 정보보호 활동조차 제대로 수행하지 않았다는 비판이다. 이는 SK텔레콤이 선량한 관리자의 주의 의무(선관주의의무)를 태만히 했다는 결론으로 이어진다.

그는 2022년 2월에 발생한 악성코드 감염 사건에 잘 대응했더라면 이번 사고로 이어지지 않았을 수 있었다고 강조했다. 당시에 사용된 악성코드가 이번 사건에 재사용됐다는 점은 동일한 공격자가 과거부터 꾸준히 침투를 시도하고 악성코드를 감염시키려 했다는 것을 보여주기 때문이다. 초기에 제대로 대응했더라면 이번과 같은 현상으로 이어지지 않았을 것이라는 이야기다.

늑장 신고로 정상적인 조사가 이뤄지지 못했다면서 SK텔레콤의 정보통신망법 위반 사항도 되짚었다. 내부 자산 관리 체계도 부재해 약 4만2000대의 서버를 파악하기 힘들 정도로 어려운 상황이었다는 점도 언급했다.

마지막으로 최고정보보호책임자(CISO)의 권한·역할도 문제가 있었다고 말했다. SK텔레콤 등 통신사는 IT 부서와 네트워크(NW) 부서가 나뉘는데, CISO가 NW 부서의 사고를 전혀 통제하지 못했다는 것이다. 이는 소통 부재와 전체 보안 체계의 문제점으로 이어졌다고 설명했다.

◆원인 분석 없인 재발 방지도 없어

박 단장은 "올해 상반기 침해 사고 동향을 살펴보면 개인 정보 유출 사고와 정보 유출 크리덴셜 스터핑과 같은 정보 유출 사고가 매우 많았다"며 "지난 1월부터 중견기업을 대상으로 한 사고가 지속적으로 발생하고 있으며, 1분기에는 특정 국가 간 공격으로 의심되는 사례도 발생했다"고 말했다.

그는 "해커의 공격 목적은 결국 정보 확보"라고 단언했다. 해커는 기업 내부로 들어갈 핵심 수단으로 정보를 활용하며, 기업을 직접 공격하기보다 기업에 접근할 수단을 찾고 그 수단의 문제점을 이용해 내부로 침투하려는 활동이 두드러진다고 언급했다.

침해 사고에 가장 많이 사용되는 수단은 인증 소프트웨어(SW)와 중앙 관리 솔루션을 집중적으로 노린 공격이라고 짚었다. 해커는 기업이 사용하는 SW의 취약점을 찾아 내부로 침투하려 하며, 이를 위해 정보 확보가 선행된다. 중앙 인증 SW, 정보 유출 방지 시스템, 망 연계 시스템 등은 기업이 현재 비즈니스에서 사용하는 핵심 SW이며, 이러한 SW의 취약점은 과거부터 계속 유입돼 왔다는 게 박 단장의 설명이다.

그는 "랜섬웨어 공격의 경우 발생 전 반드시 정보 유출이 수반되는 전조 증상을 보인다"고 말했다. 약 2~3개월 전에 필요한 정보가 먼저 유출되면 해커는 해당 정보를 기반으로 내부 상황을 분석하고, 분석이 끝나면 랜섬웨어 공격을 실행해 추가 목적을 달성한다는 것이다.

문제는 정확한 원인 분석을 통해 재발 방지 노력을 하지 않으면 사고가 다시 재발된다는 점이다. 박 단장은 "(공격) 재발까지 평균 1~2년이 소요되는 것으로 보고됐다"며 "기업들은 사고 발생 시 해커와 협상해 비즈니스를 원상 복구하려 하지만, 정확한 원인 분석 없이 이뤄지는 협상은 해커에게 언제든지 다시 공격할 수 있는 수단이 될 수 있으므로 원인 분석이 반드시 필요하다"고 강조했다.

박 단장은 사이버 위협 인텔리전스(CTI)나 위협 정보 공유 체계를 활용해 조직에 미칠 수 있는 다양한 상황을 충분히 고려·검토하고, 정책으로 적용해 실무에서 활용할 수 있는지를 지속적으로 고민해야 한다고 강조했다. 그러면서 KISA가 기업에서 사용할 수 있는 다양한 기술 정보를 제공하고 있으므로, 많은 기업이 이를 활용해 당면 과제에 접근하길 바란다고 말했다.

◆피해 확산 막을 '기술 지원' 꺼려선 안 돼

그는 "기업들이 침해 사고 발생 시 (KISA의) 기술 지원을 거부하는 사례가 있다"고 언급하면서 "해킹 피해자인 동시에 개인정보 유출의 원인 제공자라는 양면성이 있어서 그렇다"는 생각도 밝혔다. KISA의 기술 지원 과정에서 기업에게 불리한 증거가 드러날 경우를 우려해서가 아니겠느냐는 이야기다.

한 예로 지난 6월 해킹 피해를 당한 예스24가 KISA의 기술 지원을 거부한 바 있다. 당시 예스24는 KISA와 협력해 원인분석 및 복구 작업에 총력을 다하고 있다고 발표했다. 하지만 KISA는 "분석가들이 10일과 11일 2차례 사고 상황 파악을 위해 예스24 본사로 방문했지만, 예스24가 KISA의 기술 지원에 협조하지 않고 있다"고 반박했다. KISA는 또 10일 첫 현장 출동 시 예스24로부터 당시 상황을 구두로 공유받은 것 외에는 추가적으로 확인하거나, 예스24와 협력해 조사한 사실이 없다고 설명했다.

박 단장은 "KISA는 정확한 원인 분석과 피해 방지를 목표로 기업의 비밀을 충분히 보장하려 노력한다"며 "발생한 위협이 다른 곳으로 확산될 수 있으므로 이를 빨리 찾아 대응하는 것이 중요하다는 인식을 가져야 한다"고 강조했다.