[비즈니스포스트] "지난 3년 동안 SK텔레콤 통신망이 해커(불법 침입자) 손에 넘어간 상태였고, 가입자 개인정보는 다 털렸다고 봐야 한다는 얘기네. 1등 이동통신 사업자 맞아?"

SK텔레콤의 '유심 해킹' 사건을 조사해온 민관합동조사단의 19일 2차 조사결과 발표 내용에 대한 4대 그룹 계열 보안업체 관계자 반응이다. 이 관계자는 비즈니스포스트와 통화에서 "남의 회사 얘기라 좀 그렇긴 하지만, 어떻게 저렇게 무지막지하게 뚫리고, 3년이나 지나도록 뚫린 사실조차 모를 수 있느냐"고 혀를 찼다.

다른 대기업 계열 보안업체 관계자는 "SK텔레콤이 유심 등 가입자 개인정보가 담긴 서버 등 핵심 장비에 대한 보안은 중요하니 우리가 직접 하겠다며 보안 전문업체 및 정부기관 등과 해킹 관련 정보를 공유하지도 협력을 요청하지도 않은 것으로 알고 있다"며 "보안 업계 쪽에선 오만이 부른 참사라는 비판도 나오고 있다"고 말했다.

SK텔레콤 통신망이 애초 알려진 것보다 광범위하게 뚫렸고, 가입자 개인정보 유출 규모도 큰 것으로 드러나면서 다소 수그러들던 모습을 보이던 KT·LG유플러스와 알뜰폰 사업자로의 가입자 이탈(번호이동)이 다시 늘지 주목된다.  

이날 민관합동조사단(이하 조사단)의 2차 조사결과를 요약하면, 해커가 SK텔레콤 통신망에 백도어(뒷문) 설치 등 악성코드를 심은 시점이 2022년 6월15일로 특정됐다. 이 때부터 이미 SK텔레콤 통신망 서버(컴퓨터)가 해커에 뚫려 가입자 개인정보 유출이 시작됐을 수 있다는 얘기다.

지난 4월 발표된 1차 조사결과에선 악성코드에 감염된 서버 5대 중 홈가입자서버(HSS) 3대에서 가입자식별번호(IMSI)와 인증 키 등 유심 정보 4종을 포함해 총 25종의 가입자 개인정보 유출 사실이 확인됐느넫, 2차 조사결과에선 악성코드가 설치된 서버가 18대나 추가로 발견됐다. 해커한테 뚫린 SK텔레콤 통신망 서버 수가 총 23대로 늘어났다.

특히 해커한테 뚫린 것으로 추가로 드러난 서버 가운데 2대는 가입자 개인정보를 일정기간 임시로 저장해 관리하는 곳으로 드러났다. 통합고객인증 서버와 연동되는 기기들로, 가입자 인증 목적으로 불려지는 단말기 고유식별번호(IMEI)와 개인정보를 저장하고 있었다.

1차 조사 결과에서는 가능성이 없다고 봤던, 단말기 고유식별번호 등 다른 개인정보 유출 가능성이 가시화된 셈이다. 단말기 고유식별번호는 휴대전화 복제와 금융거래 등에 악용될 수 있는 것으로 우려돼왔다.

조사단은 "초기 조사에선 단말기 고유식별번호가 저장된 서버 38대를 대상으로 악성코드 감염 여부를 집중 점검했으나 감염되지 않은 것으로 확인됐다"며 "이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 과정에서 연동된 서버에 일정 기간 임시로 저장되는 파일 안에 총 29만2831건의 단말기 고유식별번호 등이 포함되고 있는 것을 확인했다"고 설명했다.

조사단은 "(해커에게 뚫린 것으로 추가로 드러난 SK텔레콤 통신망 서버에서) 빠져나갔을 수 있는 가입자 개인정보는 이름, 생년월일, 전화번호, 이메일 등 휴대전화 가입 시 남기는 정보들로 추정된다"고 밝혔다. 조사단은 "해커한테 뚫린 것으로 추가로 드러난 서버에 저장됐던 가입자 개인정보가 정확히 어떤 것인지는 개인정보보호위원회(개인정보보호위)의 추가 정밀 조사로 드러날 것"이라고 덧붙였다.
  조사단은 또 "2차례에 걸쳐 정밀 조사한 결과, 방화벽에 서버 로그(접근) 기록이 남아있는 지난해 12월3일부터 지난 달 24일까지 기간에는 데이터 유출이 없었다"며 "하지만 최초 악성코드 설치 시점인 2022년 6월15일부터 지난해 12월2일까지, 다시 말해 로그 기록이 남지 않은 기간의 유출 여부는 확인하지 못했다. 이 기간 단말기 고유식별번호와 다른 개인정보 유출 여부는 정밀 포렌식 작업을 해봐야 정확히 파악할 수 있다"고 설명했다.

조사단은 이어 "유출된 개인정보가 암호화하지 않은 상태로 보관돼 있었던 것으로 확인됐다"며 "SK텔레콤이 로그 기록을 최근 4개월치만 보관하고, 유출된 개인정보를 암호화하지 않은 사태로 보관한 것 등의 개인정보보호법 위반 여부는 개인정보보호위에서 판단하게 된다"고 밝혔다.

SK텔레콤 통신망의 보안이 허술하게 관리돼 왔고, 밖으로 드러나지 않았을 뿐 알려진 것보다 더 많은 곳이 뚫렸을 수 있다는 전문가들의 지적이 사실로 드러난 셈이다.

앞서 개인정보보호위는 지난 8일 "SK텔레콤 가입자 유심 정보 유출 경로로 이용된 주요 시스템에 백신이 설치되지 않았던 점을 확인했다"며 "개인정보 관련 기본적인 기술적·관리적 조치가 미흡했다는 의미"라고 밝혔다. 

또한 `국내 전산학 1호 박사' 문송천 카이스트 명예교수는 비즈니스포스트와 통화에서 "해커가 유심 서버 뿐만 아니라 다른 서버에도 뒷 문(백도어)을 여러 개 만들었고, 일부는 아직 발견되지 않은 채 어딘가에 숨겨져 있을 수도 있다"며 "해커가 이를 통해 앞으로 유용할 것으로 판단되는 정보가 발견될 때마다 빼갈 수 있다"고 짚었다.

이에 이번 SK텔레콤 해킹 사태는 개별 사업자 수준을 넘어 국가 안보 차원에서 원인을 진단하고 재발 방지 대책이 마련돼야 한다는 지적이 나온다.

앞서 비즈니스포스트는 지난 4월25일 '[김재섭의 뒤집어보기] SK텔레콤의 정보보안 사고? 나라 기간통신망이 해커 손에 넘어간 상태였는데'를 통해, 이번 사태는 해킹이나 가입자 개인정보 유출 사태가 아닌 국가 안보 차원에서 접근해야 원인 진단과 재발 방지 대책 마련이 제대로 마련될 수 있다고 짚은 바 있다.

최태원 SK 회장은 5월7일에야 비로소 "국가 안보 차원의 문제"라고 밝혔다. 하지만 번호이동 중도 해지자에 대한 위약금 면제 요구가 거세진 시점에서 국회 청문회 증인 출석을 거부하며 이렇게 말해 책임 회피 지적을 받기도 했다. 

뒤늦게나마 조사단이 추가 조사로 드러난 사실을 바탕으로 SK텔레콤 해킹 사태에 좀더 적극적으로 대응하는 모습을 보여 다행이다.

조사단은 지난 11일 다른 개인정보를 저장해둔 서버가 뚫린 사실을 발견하자 마자 SK텔레콤에 자료 유출 가능성을 자체 확인하고, 비정상 인증 시스템(FDS) 고도화 등 이용자 피해를 막을 조치를 강구할 것을 요구했다고 밝혔다.

조사단은 또 개인정보 저장 서버가 뚫린 사실이 추가로 드러난 것과 관련해, 개인정보보호위의 정밀한 조사가 필요한 사항이라 보고, 지난 13일 개인정보보호위에 개인정보 포함 서버 추가 해킹 사실을 통보하는 동시에 서버에 담겼던 자료 목록을 공유했다.

조사단은 지난 14일까지 SK텔레콤의 리눅스 서버 3만대를 총 4차례 점검했고, 다음 달 말까지 윈도 서버와 기타 장비 등으로 점검 대상을 확대한다고 덧붙였다. 지난 12일부터는 '통신사 및 플랫폼사 보안점검 태스크포스'를 운영하며, 통신사 및 플랫폼 4개 사를 대상으로 매일 또는 주 단위로 점검 결과를 확인하고 있다.

이와 별도로 국가정보원은 중앙행정기관, 지방자치단체, 공공기관을 대상으로 점검을 진행하고 있다.

류제명 과기정통부 네트워크정책실장은 "이번 해킹이 경제적 목적 등으로 특정 데이터베이스를 목표로 해 탈취하고 다크웹 등에서 거래를 시도하는 이전과 양상이 달라, 해커의 서버 침입 목적 등을 면밀하게 들여다보고 있다"고 말했다. 김재섭 선임기자