[IT동아 김예지 기자] 과학기술정보통신부(이하 과기정통부)가 지난 7월 4일(금) SKT 유심(USIM) 해킹 사고에 대한 최종 조사결과를 발표했다. 지난 4월 18일 11시경 발생한 침해사고 이후 약 3달 만에 나온 결과다.

민관합동조사단(이하 조사단)은 SKT 전체 서버 4만 2605대 중 감염서버 총 28대, 악성코드 총 33종을 확인했다고 밝혔다. 주요 악성코드는 BPF도어 27종, 타이니쉘 3종, 웹쉘 1종, 오픈소스 악성코드 2종(CrossC2 1종, 슬리버 1종) 등이다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이다. IMSI 기준 약 2696만 건에 해당되며, 규모로만 보면 9.82기가바이트(GB)에 달한다.

또한 감염서버 중 단말기식별번호(IMEI), 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했으나, 정밀 분석 결과 방화벽 로그 기록이 남아있는 기간에는 유출 정황이 없었다고 확인됐다. 다만, 조사단은 “악성코드 감염시점부터 로그 기록이 없는 기간에는 유출 여부를 확인하는 것이 불가능했다”고 덧붙였다.

SKT, 유심해킹 무엇이 문제였나? 2021년 최초 침투

해커의 최초 침투는 2021년 8월로 확인된다. 해커는 외부 인터넷과 연결된 시스템 관리망 내 서버에 악성코드(crossC2)를 설치했고, 같은 계정정보를 활용해 음성통화인증(HSS) 관리서버에 접속해 BPF도어를 설치했다. 또한 2022년 해커는 고객 관리망 내 서버로 이동해 BPF도어 계열의 악성코드 웹쉘을 설치한 것으로 나타났다. 지난 4월 18일 발견했을 때는 침투 과정 중 확보한 계정으로 이미 여러 서버에 악성코드를 추가적으로 설치해 유심정보를 유출한 이후였다.

이 과정에서 2022년 SKT는 특정 서버에서 비정상 재부팅을 확인하고, 해당 서버 및 연계 서버를 점검해 악성코드를 발견해 조치했다. 그러나, 당시 SKT는 이번 침해사고에서 감염이 확인된 HSS 관리서버에 비정상 로그인 시도 정황도 발견했음에도 불구하고 해당 서버에 대한 로그기록 6개 중 1개만 확인해 해커가 서버에 접속한 기록을 확인하지 못한 것으로 나타났다.

조사단은 SKT에 대해 ▲계정 정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲정보통신망법 위반 등에 대해 문제 삼았다. 우선 SKT는 HSS 서버 계정 ID와 패스워드를 암호화하지 않고 타 서버에 평문으로 저장했다. 특히 유심 인증키(Ki) 값에 대한 암호화가 이뤄지지 않았다. 운영상 방화벽 로그기록은 6개월이 아닌 4개월간만 보관하고, 전체 자산 종류 및 규모 등에 대한 체계적 관리도 미흡했다.

또한 SKT는 2022년에 발견한 악성코드 감염 서버에 대해 점검이 미흡했을 뿐만 아니라, 침해사고 신고 의무를 이행하지 않았다. SK텔레콤은 자체 규정상 연 1회 이상 서버 보안점검을 수행하고 있으나, 웹쉘이 점검항목에 포함되지 않았다. 한편, 지난 4월 18일에도 침해사고 인지 후 24시간이 지난 후에야 신고했으며, 타이니쉘 2종 악성코드 감염 서버를 발견하고도 신고하지 않았다. 침해사고 분석 원인 조사를 위해 서버 2대를 제출했으나, 포렌식이 불가능해 자료보전 명령을 위반한 사실도 드러났다.

다만, 이로 인해 현재 확인된 피해는 없다. 4일 브리핑에서 최우혁 과기정통부 정보보호네트워크정책관은 “부정사용방지시스템(FDS, Fraud Detection System) 2.0으로 모니터링 작업을 진행해왔을 때 피해 사례는 없었다”며, “IMEI가 유출돼도 단말기 복제가 100% 불가능하다는 말씀드리기는 어렵지만, 단말기 제조사, 칩 생산업체 등에 문의한 바로는 IMEI 숫자가 설령 유출됐다 하더라도 단말기가 복제되는 상황은 불가능하다”고 덧붙였다.

과실 인정…위약금 면제 등 지시

이에 과기정통부는 SKT에 정보통신망법에 따라 3000만 원 이하의 과태료를 부과했다. 재발방지 대책으로 네트워크 연결 장치 모니터링 도구(EDR), 백신 등과 제로 트러스트 솔루션을 도입하고, 분기별 1회 이상 전반적인 보안 취약점 정기 점검을 실시하도록 명령했다. 또한 외부 공급 SW에 대한 면밀한 점검을 위해 공급망 보안체계를 구축하고, 정보보호 최고책임자(CISO)가 전사 정보보호 정책을 총괄 관리할 수 있도록 CEO 직속 조직으로 꾸리도록 지시했다.

정보보호 강화에 필요한 인력 및 예산 규모도 확대할 것을 명령했다. 2024년 정보보호 공시 기준 SKT는 가입자 100만 명당 정보보호 인력 15명과 투자액 37억 9000만 원(SKB 포함)으로 통신사 평균(인력 17.7명, 투자액 57억 4000만 원)보다 규모가 작았다. 이는 KT(인력 25.1명, 투자액 90억 8000만 원)나 LG유플러스(인력 14.3명, 투자액 57억 5000만 원)와 비교해도 낮은 수준이다.

또한 과기정통부는 조사결과를 바탕으로 추가적인 법률 자문을 진행해 이번 침해사고에서 SKT의 과실이 있음을 판단하고, 약관상 위약금 면제에 해당한다고 발표했다. SKT의 관리 부실부터 침해사고 대응 조치가 고객의 모든 유심복제 가능성을 차단하는 데 한계가 있었다는 설명이다. 과기정통부는 SKT에 재발방지 대책에 따른 이행계획을 7월까지 제출하고, 이후 이행 여부를 점검할 계획이다.

SKT+SKB, 5년간 7000억 원 규모 투자한다

SKT는 7월 4일 고객 감사 패키지, 약정고객 해지 위약금 면제 등을 비롯해, 고객 보호를 위한 ‘고객 안심 패키지’ 강화 계획 및 ‘정보보호 혁신안’을 발표했다. 먼저 SKT는 소프트뱅크, 도이치텔레콤 등 기업이 채택한 세계 모바일 단말 보안 솔루션 ‘짐페리움(ZIMPERIUM)’을 올 하반기부터 모든 고객에게 1년간 무상 제공한다.

이번 사이버 침해로 인한 유심 복제 피해 발생 시 외부 기관과 함께 피해 보상 프로세스를 지원하는 ‘사이버 침해 보상 보증 제도’를 도입한다. 사이버 침해 관련 기업 보험 한도는 기존 10억 원에서 1000억 원으로 늘린다.

특히 SKT는 과기정통부의 명령을 이행하고자 향후 5년간 7000억 원에 달하는 대규모 투자를 감행한다. 정보보호 전문 인력을 기존 대비 2배로 확대하고, 보안 기술 및 시스템 강화를 위한 투자를 늘린다. 100억 원의 정보보호 기금을 출연해 국내 정보보호 생태계 활성화에 기여한다는 다짐이다. 더불어 제로 트러스트 기반 정보보호 체계를 구축하고 AI 기반 통합 보안 관제 등 다양한 기술적 조치를 이어갈 예정이다.

이와 함께 SK텔레콤은 체계적인 정보보호를 위한 내·외부 보안 검증 체계를 강화한다. 개인정보보호위원회 주관 개인정보보호 관리체계(ISMS-P) 인증 대상을 이동통신 인프라 및 시스템으로 확대하고, 개인정보 영향 평가도 적용한다. 사내 개발·운영 프로세스를 개인정보보호 중심으로 설계하며, 학계 권위자와 업계 전문가로 구성된 그룹 정보보호혁신특별위원회와 연계하여 보안 수준을 검증한다. 화이트 해커들과 정기적인 모의 해킹을 통해 취약점을 점검 및 개선할 예정이다. 이로써 NIST의 사이버 보안 프레임워크(CSF)를 기반으로 3년 후 국내 최고, 5년 후에는 글로벌 최고 수준의 보안 체계 구축을 목표한다.

보안 사고는 흔히 일어나지만, 해킹에 대한 대응이 가장 중요하게 꼽힌다. 통상 해커의 침입은 발견의 여부에 달렸다고 해도 과언이 아닐 정도로 취약점은 무수히 많고 계속 생성된다. 이에 따라 보안 업계 전문가들은 지속적인 모니터링과 최초 침투를 막는 빠른 대응을 강조한다.

지난 5월 구글 클라우드는 고도화되는 사이버 공격에 대비해 기업의 신속한 탐지 및 대응을 강조했다. 보안 관련 전문가는 “해커가 내부로 들어왔다고 바로 피해가 발생하는 건 아니다. 피해가 발생하는 지점, 즉 해커가 침입한 시점부터 실제 목표를 달성하는 시점까지의 기간이 중요하다”며, “방어자는 공격 표면을 관리해야할 뿐만 아니라 주도권을 가지고 자사의 시스템을 면밀히 파악해 방어한다면 우위를 선점할 수 있다”고 말했다.

한편, SKT는 과기정통부의 명령에 따라 7월 14일(월)까지 이동통신 서비스를 해지한, 혹은 해지할 예정인 소비자 대상으로 통신 위약금을 면제한다고 밝혔다. 해지를 신청한 고객은 7월 15일(화)부터 해지 환급금을 받는 방식이다.

이통3사, ‘선제적’ 보안 투자 필요

이번 SKT 유심해킹 사태가 ‘통신 역사상 최악의 해킹 사태’로 거론되면서 과거 KT와 LG유플러스의 사례가 재조명됐다. 국내 1위 통신사인 SKT의 미흡한 사고 대응에 따라 국내 이통3사 전체에 대한 정보보안 신뢰도에 의문이 제기된 것.

KT와 LG유플러스는 대규모 해킹 사건으로 홍역을 치렀으며, 이는 통신 보안의 허술함을 여실히 드러냈다. KT는 2014년 홈페이지 해킹으로 1200만 명의 대규모 개인정보 유출 사태를 빚은 바 있고, LG유플러스는 2023년 해킹으로 30만 건 이상의 개인정보가 유출됐다. 당시 KT는 초기 대응에는 실패했지만, 소비자단체의 요구에 따라 보안 강화 투자를 늘렸다. LG유플러스도 사고 직후 연간 보안 투자액을 1000억 원으로 확대했다. 또한 당시 전 고객 대상으로 유심을 무상 교체하고, 인터넷 장애 시간의 10배 요금을 감면했다.

통신사는 국민의 민감하고 방대한 정보를 보유하기 때문에 해커의 주요 표적이 되기 쉽다. 가장 최신의 개인 정보부터 최근 금융 거래에 스마트폰을 활용하는 만큼 유심정보의 중요성도 커졌다. 그러나 통신사의 시스템은 복잡하고, 외부와의 접점이 많아 더욱 고도화된 보안 기술이 요구된다. 시스템 관리 부실 등 기본 보안 수칙이 제대로 지켜지지 않으면 해킹에 더욱 취약해질 수밖에 없다. 이러한 관점에서 KT와 LG유플러스와 달리 SKT는 업계 표준에 부합한다는 이유로 암호화하지 않았던 점이 주요 해킹 원인으로 꼽혔다.

보안 전문가들은 기술적 조치를 넘어 현재의 처벌 방식을 개선해야 한다고 지적했다. 지난 2023년 LG유플러스 해킹 이후 개인정보보호법을 개정해 과징금 상한을 연 매출의 3%로 확대했지만, ‘사후 처벌’ 방식은 이러한 사태를 근본적으로 해결할 수 없을 것이라는 설명이다. 이에 따라 사고를 방지하기 위한 사전 예방적 규제를 강화하고, 보안 투자에 대한 인센티브 제공 등 다각적인 정책적 접근이 고려될 만하다.

KT와 LG유플러스의 사례는 SKT에게 시사하는 바가 크다. 특히 SKT는 국내 이동통신 시장의 독보적인 1위 사업자이자 가장 많은 고객을 보유하고 있는 만큼 그 책임감은 다른 기업보다 막중하다. 단순한 보안 강화 차원을 넘어 분골쇄신의 자세로 전체 보안 시스템 재정비가 요구된다. 선제적이고 상시적인 보안 점검뿐만 아니라, 고객에게 피해 사실을 투명하게 공개하고 신속하게 대응할 수 있는 계획이 강조된다. 정부는 기업이 자발적으로 보안 투자를 늘리고 예방에 힘쓸 수 있는 실질적인 방안을 모색해야 한다.

IT동아 김예지 기자 (yj@itdonga.com)