SKT 해킹 추가 악성코드 8종 발견…합동 조사단, 유입 경로 추적

[이코노믹데일리] SK텔레콤 서버 해킹 사건을 조사 중인 민관 합동 조사단이 최근 추가로 확인된 악성 코드 8종의 구체적인 유입 경로와 생성 시점 등을 밝히는 데 수사력을 집중하고 있다. 

민관 합동 조사단은 이들 악성 코드가 해킹 초기에 발견된 4종과 마찬가지로 홈가입자서버(HSS)에서 발견된 것인지, 혹은 다른 서버 장비에 숨겨져 있었는지 등을 파악하기 위해 정밀 포렌식 분석을 진행 중이라고 6일 밝혔다.

SK텔레콤은 지난달 18일 데이터 이상 유출 트래픽을 감지한 후 과금 분석 장비 등에서 악성 코드 감염 및 파일 삭제 흔적을 확인했다. 이어 다음 날에는 4G 및 5G 가입자의 음성 통화 단말 인증을 처리하는 HSS 서버에서 데이터 유출 정황을 파악한 바 있다. 이후 한국인터넷진흥원(KISA)은 지난 3일, 리눅스 시스템을 겨냥한 공격 사례가 확인됐다며 관련 악성 코드 8종 정보를 추가로 공개했다.

민관 합동 조사단은 현재 포렌식 작업을 통해 해당 코드들의 정확한 발견 위치와 생성 시점, 유입 경로 등을 추적하고 있으나 아직 조사 결과를 단정하기는 이르다는 입장이다. 보안 업계 일각에서는 특정 VPN(가상사설망) 장비, 특히 이반티(Ivanti) 제품의 보안 취약점이 공격 경로로 활용됐을 가능성을 제기하고 있으나 SK텔레콤이 실제 어떤 제조사의 VPN 장비를 사용했는지는 공식적으로 확인되지 않았다.

한편 과학기술정보통신부는 이번 사태의 심각성을 인지하고 지난 3일 통신 3사 외에 네이버, 카카오, 쿠팡, 우아한형제들 등 주요 플랫폼 기업들의 정보보호 현황 점검에 나섰다. 과기정통부는 이들 기업에게 SK텔레콤 해킹에 사용된 유형의 악성 코드에 대한 자체 점검을 철저히 이행할 것을 주문했다. 이는 플랫폼 업계가 사용하는 VPN 장비 등의 보안 취약점을 사전에 파악하고 유사 피해를 예방하기 위한 조치다. 민관 합동 조사단 관계자는 현재까지 플랫폼 업계에서 해당 악성 코드로 인한 피해는 보고된 바 없다고 전했다.

한편 SK텔레콤의 고객 이탈 규모는 다소 진정되는 추세를 보이고 있다. 전국 2600개 T월드 매장에서 신규 가입 및 번호이동 업무를 중단한 첫날인 지난 5일, KT로 7087명, LG유플러스로 6658명 등 총 1만3745명이 SK텔레콤을 떠났다. 이는 연휴 기간과 유심 보호 서비스 자동 가입 조치 등이 영향을 미치면서 지난주 후반 3만 명대에 달했던 가입자 이탈 규모가 줄어든 것으로 분석된다.