SK텔레콤(SKT)에서 발생한 가입자 유심(USIM) 정보 유출 해킹 사태로 가입자들의 불안이 확산되는 가운데 SKT가 주요 시스템에 백신 설치를 하지 않는 등 SKT의 허술한 보안관리 상태가 드러났다. 이를 두고 이번 해킹 사태가 SKT의 보안 불감증으로 인한 인재라는 지적이 나온다.

13일 정부와 업계에 따르면 SKT는 지난달 18일 보안관제센터에서 9.7기가바이트(GB)에 달하는 비정상적 데이터 이동을 감지하고 이후 악성코드가 심어진 사실과 파일 삭제 흔적 등을 발견했다.

다음날인 19일에는 홈가입자서버(HSS)의 데이터 유출이 의심되는 정황을 확인했다. HSS는 4G 및 5G 가입자가 음성 통화를 이용할 때 해당 통화가 이뤄지는 단말기가 통신사에서 개통된 것인지 여부를 인증하는 역할을 한다. 이에 HSS에는 가입자 전화번호, 가입자식별키(IMSI) 등 가입자 유심 정보가 저장돼 있다.

해킹은 소프트웨어의 약점을 이용한 백도어를 통해 이뤄진 것으로 보인다. 민관합동조사단의 1차 분석결과에 따르면 해킹 공격 정황이 있는 HSS를 비롯한 서버 3종, 5대를 조사한 결과, 침투에 사용된 BPF도어(BPFDoor) 계열의 악성코드 12종이 발견됐다.

해당 악성코드는 서버의 운영체제(OS)인 리눅스에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF(Berkeley Packet Filter)를 악용해 백도어를 만든다. 해당 악성코드는 기존 보안 방법으로는 탐지가 어려운 것으로 알려져 있다.

BPF도어 계열의 악성코드는 기존처럼 외부에서 공격하는 해킹과 달리 운영체제 내에서 작동해 내부에서 외부로 정보를 보낸다는 특징이 있다. 이 때문에 다른 네트워크로부터 접근이 제한된 폐쇄망으로 운영되는 HSS가 외부로 데이터를 전송하게 된 것이다. 외부에서 들어오는 공격에는 몇겹의 보안 시스템으로 방어하고 있지만, 내부에서 나가는 데에는 제한이 없기 때문이다.

방효창 두원공과대 IT학과 교수는 "일반적으로 해킹을 하려면 네트워크를 통해 서버에 접속을 해야 하는데, BPF도어는 누군가가 OS에 이미 해킹 프로그램을 심어 놓는 것"이라며 "그래서 내부에서 일종의 터미널을 열어서 스스로 데이터를 밖으로 보내게 된다"고 설명했다.

다만 최초에 해당 악성코드가 어떻게 폐쇄망인 HSS에 심겼는지는 아직 밝혀지지 않았다. 민관합동조사단은 해당 악성코드의 유입 시점과 발견 장소 등을 들여다보는 중이다.

HSS에 저장된 정보는 대부분 문자와 숫자로 이뤄진 로우(ROW)데이터인 것으로 보인다. 이를 고려하면 유출된 9.7GB 규모의 데이터라면 거의 모든 데이터가 해당될 것으로 우려된다. 이에 SKT의 가입자 전원 2,300만명의 데이터가 유출됐을 가능성도 높다.

조사단에 따르면 이번 유출된 데이터 중 가입자 전화번호, 가입자식별키(IMSI) 등 USIM 복제에 활용될 수 있는 4종과 USIM 정보 처리 등에 필요한 SKT 관리용 정보 21종이 포함된 것으로 확인됐다.

다만 단말기고유식별번호(IMEI) 유출은 없는 것으로 확인된다. 단말기고유식별번호에 가입자식별키 등을 결합하면, 다른 곳에서 자신이 쓰는 휴대전화와 같은 '복제폰'을 만들 수 있다. 이렇게 되면 금융기관 인증 문자 등을 가로채 2차 피해가 발생할 수도 있다. 비록 유출된 가입자식별키로 유심을 복제할 수 있지만, 단말기고유식별번호가 다르면 SKT가 현재 시행 중인 '비정상 인증시도 차단(FDS)'과 유심 보호 서비스 등으로 복제폰의 접속을 차단할 수 있다.

폐쇄망이라서 안심했나...과거 해킹 사고도 폐쇄망서 벌어져

문제는 이미 BPF도어 악성코드를 이용한 해킹 시도가 이어져 왔음에도 SKT가 보안에 주의를 기울이지 않았다는 점이다.

BPF도어를 통해 해킹 수법은 이미 여러 나라, 여러 분야에서 이뤄져 경고되고 있었다. 보안 전문회사 트렌드마이크로 보고서에 따르면 BPF도어 수법은 통신, 금융, 리테일 부문을 집중적으로 공격하는 데 쓰이고 있으며 홍콩, 미얀마, 말레이시아, 이집트뿐 아니라 한국에서도 공격이 확인됐다.

트렌드마이크로는 지능형 지속 위협(APT) 그룹이 지난해 7월과 12월 한국 통신사에 대한 BPF도어 악성코드 공격을 감행했다고 분석했다. BPF도어를 통한 해킹 시도가 이번이 처음이 아닌 것이다.

오히려 SKT는 보안에 대한 비용을 줄인 것으로 드러나기도 했다. 한국인터넷진흥원 등에 따르면 SKT의 지난해 정보보호 투자비는 약 600억원으로, 2022년(627억원) 대비 4% 정도 줄었다. 지난해 KT가 정보보호 투자비로 1,218억원을, LG유플러스가 632억원을 투자한 것을 고려하면, 이동통신 3사 중 가장 낮은 수준이다.

특히 지난해는 지난 2023년 LG유플러스에서 가입자 30만명의 정보가 유출되는 사고가 발생해 통신사에 대한 보안 강화 요구가 높던 시기였다. 실제로 당시 사고가 발생한 LG유플러스는 정보보호 투자비를 사고 전인 2022년 292억원 수준에서 지난해 632억원으로 116% 늘렸다. 업계에서 일어난 정보 유출 사고로 보안에 대한 긴장감이 높던 시기에 SKT는 오히려 보안에 힘을 뺀 모양새다.

악성 코드를 막기 위한 백신 설치나 개인정보에 대한 암호화 처리 등 기본적인 보안에도 소홀한 정황도 드러났다.

SKT의 개인정보 처리 시스템을 전수조사 중인 개인정보보호위원회에 따르면 이번 데이터 유출의 경로가 된 주요 시스템에 악성프로그램 방지를 위한 보안프로그램(백신)이 설치되지 않았던 점이 확인됐다. 이에 대해 개인정보위는 "개인정보보호법상 기술적·관리적 보호조치 의무를 위반한 소지가 있다고 판단하고 있다"고 밝혔다.

유출된 데이터도 암호화하지 않은 채 관리되고 있었다. 지난 8일 국회 과학기술정보방송통신위원회에서는 SKT가 KT, LG유플러스 등 다른 이동통신사와 달리 유심정보를 암호화하지 않았던 점이 지적됐다. 이에 대해 당시 유상임 과학기술정보통신부 장관은 "유심 인증키를 암호화하지 않은 것은 소홀했다"고 지적에 동의했다.

해킹 사고가 일어난 HSS가 폐쇄망으로 운영되던 만큼 오히려 더 '보안 불감증'을 가졌을 것이라는 지적도 있다. 외부로부터의 접속이 제한된 만큼 외부 공격에는 안전하다는 인식 때문에 내부에서의 유출에는 주의를 덜 기울였을 것이란 지적이다.

그러나 그동안 일어난 정보 유출 사고를 보면 내부 폐쇄망에서 일어난 사례도 적지 않다. 지난 2023년 LG유플러스에서 일어난 가입자 정부 유출 사고도 본래 고객인증시스템에 대한 외부 접근을 제한했어야 했으나, 관리 소홀로 외부에서 쉽게 접근할 수 있도록 하면서 사고가 발생했다.

방효창 교수는 "폐쇄망은 네트워크로 접근이 안 되니까 별문제가 없을 거라고 생각하는데, 해킹사고를 보면 대부분 인적 사고"라며 "외부에서 해킹이 벌어지는 일도 있지만 알고보면 (악성코드가) 관리자PC를 타고 오는 게 많다"고 지적했다.

해킹 사태 후 대처도 부실...가입자 대거 손해배상소송

해킹 사태가 벌어진 후 SKT의 대처도 미흡했다는 지적이 나온다. 사태 초반 SKT는 홈페이지에만 해상 상황을 알리면서, 가입자들에게 제대로 피해를 고지하지 않아 뭇매를 맞았다.

또 2차 피해를 방지할 수 있는 유심 보호 서비스도 가입자가 각각 신청하도록 하면서 비난을 받았다. 이후 현재는 모든 가입자를 자동 가입하도록 조치한 상태다.

해킹 사태로 인해 SKT의 관리 부실이 드러났음에도 통신사를 변경하려는 가입자에 대한 해지 위약금 면제에 대해서도 명확한 입장을 내지 못하고 있다. SKT 측은 위약금 면제가 실시될 경우, 500만명의 가입자가 이탈하고, 중기적으로 7조원의 손실을 입을 것으로 예상하고 있다.

이에 피해를 입은 가입자들은 대거 집단소송에 나서고 있다. 이날까지 SKT를 상대로 집단소송을 준비 중인 법무법인은 11곳에 달한다. 이 중 무료소송을 선언한 법무법인 대건에는 약 14만명, 법률사무소 노바·대륜·로피드 등에도 4만명 이상이 참여 의사를 밝힌 것으로 알려졌다.

법무법인 이공은 개인정보위 산하 정보분쟁조정위원회에 100명의 이름으로 집단분쟁 조정을 신청하고, 향후 법적 대응도 병행할 방침이다. 이공은 "만일 SKT에서 집단분쟁조정안을 수락하지 않을 경우 SKT를 상대로 손해배상청구소송을 제기할 예정"이라고 밝혔다. 법정에서는 SKT의 개인정보 관리에 대한 기술적 보호조치가 충분했는지 여부가 쟁점이 될 것으로 보인다.