[IT동아 김예지 기자] SKT는 지난 4월, 악성코드로 인한 유심(USIM) 해킹 사고를 당해 대규모 고객 정보 유출 사태를 빚었다. 현재 SKT는 민관합동 조사단을 구성해 심층 조사에 착수했지만, 유심 해킹 원인을 규명하는 데 최소 한 달 이상이 걸릴 것으로 예상되어 고객의 불안감이 지속되고 있다.

SKT의 유심 해킹 사고 후 대응은?

SKT는 지난 4월 19일(토) 오후 11시경 유심해킹을 통한 고객 유심 정보 유출 정황을 발견한 후, 4월 20일(일) 오후 4시 46분 한국인터넷진흥원(KISA)에 침해사고를 접수했다. 이어 4월 22일(화) 오전 10시 개인정보보호위원회(이하 개인정보위)에 개인정보 유출 정황을 신고했다. SKT와 KISA는 4월 23일(수) 민관합동 조사단을 꾸려 조사를 진행 중이다. SKT는 “현재까지 2차 피해 사례는 확인되지 않았으며, 다크웹 등에 유통되거나 악용된 사례도 발견되지 않았다”고 주장했다.

SKT는 유출 가능성을 인지한 후, 해당 악성코드를 즉시 삭제하고, 해킹 의심 장비를 격리 조치했다. 전체 시스템 전수 조사를 실시하고 ▲비정상인증시도 차단 시스템(FDS, Fraud Detection System) 강화 ▲유심보호서비스 자동가입 ▲유심 교체 등을 시행했다. 특히 4월 28일(월)부터 전국 T월드 매장에서 유심 무상 교체를 시행했으며, 5월 2일(금)부터 유심보호서비스 자동 가입을 실시했다. 5월 5일(월)부터는 전국 T월드 매장에서 신규가입 및 번호이동 모집을 중단했다.

SKT가 유심을 추가로 확보하려 하지만, 공급 일정 문제로 물량 확보는 더딘 상황이다. SKT는 5월과 6월 각 500만 장씩, 7월 이후에도 추가 확보를 계획하고 있다고 밝혔다. 하지만, SKT 고객은 알뜰폰 망 고객을 포함해 총 2500만 명에 달한다. 이에 SKT는 실물 유심 교체 없이 유심 일부 정보를 변경해 유심 복제를 차단하는 ‘유심 재설정(유심 포맷)’ 솔루션을 5월 12일(월) 도입했다. 또한 SKT는 이날부터 유심보호서비스를 해외 로밍 중에도 이용할 수 있도록 업그레이드를 완료했다고 밝혔다.

어떤 개인정보가 유출됐나

SKT 고객들은 정확한 원인이 파악되기까지 개인정보 유출에 대한 불안감을 쉽게 떨치기 어려울 것으로 보인다. 그렇다면 현재까지 알려진 유심해킹의 원인은 무엇이며, 범위는 어느 정도일까.

민관합동 조사단은 SKT가 공격을 받은 정황이 있는 3종 5대 서버를 조사했고, 기타 중요 정보들이 포함된 서버에 대한 조사를 확대하고 있다. 4월 29일(화) 발표된 1차 조사결과에 따르면, 가입자인증시스템(Home Subscriber Server, 이하 HSS)에 저장된 이용자 휴대전화번호, 가입자 식별번호(IMSI), 유심 인증키(Ki) 및 기타 유심 관련 정보 등 총 25종의 정보가 유출됐다. 유심을 개통하거나 인증할 때 필요한 4가지 정보는 유심 복제에 악용될 수 있는 정보로, 망과 연결된다. 이외에 21종은 유심 정보 처리에 필요한 관리용 정보다.

유심은 가입자를 식별하고 인증해 이동통신 서비스를 이용할 수 있도록 하는 장치로, 가입자 식별 및 인증 정보와 가입자가 직접 저장한 정보로 구성된다. HSS는 가입자의 이동통신망 접속을 위한 인증 시스템으로 IMSI, 가입자 인증키 등이 저장되는 공간이다. 그러나 현재까지 SKT에서 유출된 정보에 단말기 고유식별번호(IMEI) 유출은 없는 것으로 확인됐다. 이에 따라 과기정통부는 “현재 SKT가 제공하는 유심보호서비스에 가입하면 유출된 정보를 이용해 다른 휴대전화에 유심을 복제해 불법적 행위를 하는 이른바 ‘심 스와핑’을 방지할 수 있다”고 설명했다.

또한 유심에는 이름, 주민등록번호, 주소와 같은 개인정보 및 계좌정보가 저장되지 않으므로 연락처, 문자, 휴대전화 앱 등 정보는 이번 사고와 관련이 없다고 설명했다. 더불어 ‘모바일 티머니’나 인증서 등도 망과 연동되지 않아 이번 유출 사고와는 관련 없다. SKT는 “휴대전화에 저장된 연락처, 문자, 앱은 단말기 자체 메모리나 유심 메모리에 저장된다. 유심은 망과 연동되는 부분과 물리적인 메모리로 나눌 수 있는데, 이번 사고로 유출된 정보는 망과 연동되는 부분이기 때문에 연락처, 문자, 휴대전화 앱 등 정보는 복제될 수 없다”고 말했다.

이러한 이유로 SKT는 금융자산 탈취 가능성은 낮다고 주장한다. SKT는 5월 8일 국회 청문회에서 “해외와 우리나라의 금융 환경 자체가 다르다. 우리나라는 공인인증서 등 보안 시스템을 광범위하게 사용해 금융 피해로 이어질 가능성은 낮다고 판단된다. 개인이 휴대전화에 저장하는 웹사이트 비밀번호, 카드번호 등 금융 정보는 유출되지 않았다. 만약 이를 유심에 저장했더라도 그 정보는 통신사 서버에 저장된 정보가 아니므로 유출되지 않았다”고 말했다.

또한 “일반적인 해킹과 통신사 해킹과는 관점이 다르다. 통상 통신사를 해킹할 때 해커의 표적은 통화 상세 기록(Call Detail Record, 이하 CDR)이다. 예컨대 지난해 미국에서는 최소 9개 통신사가 해킹을 당한 것으로 밝혀졌고, 당시에도 CDR이 목적이었다”며, “이번 사고도 해당 정보 유출 여부를 파악하고, 이에 대한 기간을 확인해야 하는 것이 중요하며, 금융 피해 가능성에 지나치게 집중하는 것은 논점에서 벗어난 것 같다”며 우려를 표명했다.

BPF도어 계열 악성코드 발견…“원인 파악 통상 1달 반 걸릴 것”

민관합동 조사단은 해킹 원인 조사 과정에서 BPFDoor(BPF도어) 계열의 악성코드 4종을 발견했다. 이는 리눅스 운영체제(OS)의 커널(하드웨어와 소프트웨어 간 인터페이스로 운영체제의 핵심 부분)에서 연결망을 점검하거나, 필터링(네트워크 모니터링) 기능을 수행하는 ‘BPF(Berkeley Packet Filter)’라는 패킷 필터링 기술을 악용한 백도어(Backdoor)로 알려져 있다.

이 악성코드는 OS 영역에서 정상적인 시스템 프로세스로 위장하거나, 네트워크 트래픽을 조작해 보안 시스템의 탐지를 우회한다. 평소에는 잠복 상태로 있다가 공격자의 명령에 따라 수행하기 때문에 탐지가 어렵다. 조사단은 “BPF도어 악성 코드 자체가 오픈 소스이므로 변종 생성이 가능해 특정하기 어렵고, 은닉성이 뛰어나 활동 내역을 탐지하기 어렵다”고 밝혔다. 사고 직후 KISA는 BPF도어 악성코드 대응을 위한 유형별 점검 가이드를 공개했다. 한편, 키사는 이번 해킹 사고 대응 과정에서 리눅스 시스템을 대상으로 공격에 활용된 추가 악성코드 8종을 발표하기도 했다.

SKT는 8일 청문회에서 “2019년 발표된 해외 이통사 해킹 관련 보고서에 따르면, 통상 이통사를 공격하는 해커는 국가 수준의 대규모 지원을 받는 경우가 많다. 해킹 시도 기간도 길면 10년에 걸쳐 이뤄지기도 한다”고 말했다.

그러면서 최종 결론이 나오기까지 통상 1달 반에서 두달 정도가 소요될 것이라 내다봤다. 유상임 과학기술정보통신부(이하 과기정통부) 장관은 “과거 2014년부터 2023년까지 약 6건의 유사 사례가 있었고, 가장 빠르게 조사가 완료된 경우는 20일, 가장 오래 걸린 경우는 3개월 이상이 소요됐다. 이에 따라 1~2개월 정도의 조사 기간을 예측하고 있다”며, “고객의 불안감을 인지해 조사단이 중간 발표가 있을 경우 투명하게 공개하도록 하겠다”고 덧붙였다. 한편, 현재 피해가 우려되는 서버는 약 3만 3000대이며, 기지국부터 하드웨어 서버까지 총 40만 대 이상으로 예상된다.

보안 업계 관계자는 “악성코드는 서버뿐만 아니라 하드웨어 및 소프트웨어에 다양하게 존재하는 취약점에 의해 발견될 수 있다. 그러나 사고 발생 여부를 탐지하는 것보다 정확한 원인을 파악하는 것은 훨씬 어렵다. 포렌식 분석이 약 6개월 이상이 걸릴 수 있고, 취약점이 단일하지 않을 가능성이 크다. 특히 이번 공격과 같은 지능형 지속 공격(Advanced Persistent Threat, 이하 APT)은 다양한 해킹 방법을 동원해 몇 개월부터 몇 년 동안 취약점을 공격하는 방식으로, 많은 서비스를 제공하는 통신사는 관리할 취약점이 많다. 더불어 해커는 VPN으로 IP 주소를 우회하는 방식으로 정체를 숨기기 때문에 사고 추적 및 원인 규명은 매우 어렵다”고 말했다.

뭇매 맞은 SKT…‘보안 투자 중요성 일깨운 사고’

정확한 피해 범위 및 원인이 밝혀지지 않았음에도 불구하고, 이번 사건으로 SKT는 여러 측면에서 비판을 피하기 어려웠다. 가장 큰 문제점으로 지적된 것은 늦장 대응이다. 개인정보보호위원회는 SKT가 고객 유심정보 유출 정황을 인지해 신고했으나, 전체 고객에게 관련 문자를 발송하기까지 4일 이상이 소요된 점을 지적했다. 또한 홈페이지 공지 외에 개인정보보호법(이하 보호법)에 따른 법정사항을 포함한 내용이 개별 통지되지 않았다.

특히 일부 알뜰폰 사용자는 5월 9일까지 문자를 받지 못한 것으로 확인됐다. SKT 관계자는 “알뜰폰 사용자에 대해서는 직접 문자 발송이 불가했지만, SKT망 알뜰폰 사업자 14곳에 해킹 사실을 통지했다”는 입장을 밝혔다. 개인정보위는 SKT에 개인정보 유출 가능성이 있는 모든 이용자를 대상으로 개별 통지를 시행하고, 디지털 취약계층에 대한 별도 보호 대책을 마련할 것으로 촉구했다.

또한 개인정보위는 SKT가 유출 경로가 된 주요 시스템에 악성프로그램 방지를 위한 보안프로그램(백신)이 설치되지 않았던 점을 확인했다고 밝혔다. 개인정보 관련 기본적인 기술적·관리적 조치가 미흡했다는 판단 하에, 1차적으로 침해사고가 발생한 HSS 서버 및 과금 관련 서버(WCDR) 외 휴대전화 개통 시스템, 인증 시스템, 과금 시스템 등 주요 개인정보 처리 시스템을 대상으로 보호법상 안전조치의무 준수 여부에 대한 전수조사를 진행했다. 이에 류정환 SKT 부사장은 8일 청문회에서 “백신 설치 계획은 있었으나, 최근 마이크로소프트(MS) 사태에서 백신이 시스템 장애를 유발할 수 있다는 우려 때문에 도입을 검토 중이었다”고 해명했다.

이러한 가운데, 지난해 SK브로드밴드를 포함한 SKT의 정보보호 투자액이 타 통신사 대비 비교적 낮은 수준으로 밝혀졌다. KISA에 따르면, SKT의 정보보호 투자비는 2021년 861억 원(SKT 627억 원+SKB 234억 원)에서 2023년 867억 원(SKT 600억 원+SKB 267억 원)으로 늘었다. KT는 2021년 1021억 원에서 2023년 1218억 원으로 늘었고, LG유플러스는 2021년 292억 원에서 2023년 632억 원으로 늘었다. 또한 SKT의 손해배상 책임에 대한 보험 가입 한도액은 10억 원에 불과했다. 한편 보안 업계 관계자는 “현저한 수준의 차이가 있었던 것으로 보이지는 않는다. 정보보호 투자액 자체 규모보다는 우선순위를 정해 예산이 어디 활용됐는지가 중요하다고 본다”며 신중한 입장을 보였다.

과기정통부는 정보보호 관리 체계(Information Security Management System, 이하 ISMS) 인증 무용론에 대해서는 반박하는 입장을 보였다. 유상임 장관은 “ISMS는 모든 기관에 적용하는 보안 점검 제도로, 일반적으로 지켜야 할 최소 기준이다. 모든 기관에 적용하기 때문에 그 수준을 특정 기업에 높게 만들 수는 없다. 해외에서는 별도 법을 만들어 보안을 강화한다”고 설명했다. 류정환 SKT 부사장은 “우리나라는 ISMS 이상의 조치를 권고 받고 있으며, 최소 기준 이상으로 갖췄음에도 불구하고 이번 사고가 발생해 유감이다”며, “다만 SKT는 가상 사설망(VPN) 외에 방화벽 등 기타 보안 시스템을 통해서 철저히 차단하고 있다”고 덧붙였다.

한편, 이번 사고를 계기로 국가적인 차원에서 이통3사의 보안 점검을 강화하고, 우리나라 보안 기업의 육성을 촉구하는 목소리가 제기됐다. 보안 업계 관계자는 “국내기업의 보안 투자 수준은 해외기업에 비해 상대적으로 낮은 편이었으나, 이번 사고를 통해 많은 사람들이 보안의 중요성을 인식하게 됐다고 생각한다. 앞으로 선제 투자와 예방을 통해 이러한 해킹사고 발생 빈도를 줄일 수 있을 것이라 기대한다”고 말했다

김승주 고려대학교 교수는 “우리나라는 해외와 달리 인터넷 망과 내부망을 분리하는 망 분리 정책을 시행한다. 그러나 폐쇄망이더라도 외부와의 접점은 존재하기 때문에 완전한 단절은 불가능하다. 따라서 망 분리 제도 자체를 개선하고, 이에 적합한 보안 솔루션을 개발해야만 유사한 사고를 체계적으로 예방할 수 있다”고 말했다. 강도현 과기정통부 차관은 “망 분리 정책에 대한 로드맵은 마련돼 있으며, 금융·공공 분야부터 적용될 예정”이라고 덧붙였다.

보안 업계 전문가는 “제로데이 취약점(알려지지 않은 취약점)은 기술이 발전함에 따라 새롭게 발견된다. 통신장비, 서버 등을 비롯한 하드웨어 자체에도 해커가 침투할 수 있는 취약점이 많으며, 펌웨어는 더욱 많은 취약점을 내포하고 있다. 끊임없이 빈틈을 공격하는 해커에 대응하기 위해 기업은 지속적으로 보안 솔루션을 도입해 기존 시스템을 개선해나가야 한다”고 강조했다.

IT동아 김예지 기자 (yj@itdonga.com)