[최진홍 기자] SK텔레콤(SKT) 대규모 가입자 정보 유출 사태의 배후로 중국 정부 해커 조직이 있을 것이라는 분석이 나오고 있다. 확실한 것은 아니다. 그러나 연계 해커 조직으로 알려진 '레드멘션(Red Mention)'이 SKT 유심 사태의 주범일 수 있다는 주장이 나오며 분위기가 심상치않게 돌아가고 있다.
이들은 'BPFDoor'라는 고도의 은닉형 악성코드를 사용해 SKT 시스템에 최소 2022년 6월부터 약 2년 10개월간 잠복하며 방대한 양의 개인정보와 통신 데이터를 빼낸 것으로 드러나 충격을 주고 있다.
레드 멘션 쇼크
이들은 'BPFDoor'라는 고도의 은닉형 악성코드를 사용해 SKT 시스템에 최소 2022년 6월부터 약 2년 10개월간 잠복하며 방대한 양의 개인정보와 통신 데이터를 빼낸 것으로 드러나 충격을 주고 있다.
 |
레드 멘션 쇼크
19일 정부와 SKT에 따르면 이번 해킹으로 SKT 및 알뜰폰 가입자와 사물인터넷(IoT) 회선을 포함한 약 2695만 건의 유심(USIM) 내 가입자식별번호(IMSI) 및 인증키(Ki), 약 29만 건의 단말기식별번호(IMEI), 심지어 이름, 생년월일, 전화번호, 이메일 주소 등 개인정보가 유출된 것으로 확인됐다. 전체 유출 데이터 용량은 9.82GB에 달한다.
특히 가입자 인증 정보의 핵심인 홈가입자서버(HSS) 23대가 감염된 사실이 밝혀지면서, SIM카드 복제를 통한 2차 피해 우려도 커지고 있다.
보안 전문가들은 이번 공격의 핵심에 '레드 멘션(Red Menshen)', '어스 블루크로우(Earth Bluecrow)'로 알려진 중국 기반의 지능형 지속 위협(APT) 그룹이 있는 것으로 분석하고 있다. 이들은 최소 2017년부터 활동해왔으며, 주로 각국 통신사와 정부 기관, 금융권 등을 표적으로 삼아왔다.
특히 가입자 인증 정보의 핵심인 홈가입자서버(HSS) 23대가 감염된 사실이 밝혀지면서, SIM카드 복제를 통한 2차 피해 우려도 커지고 있다.
보안 전문가들은 이번 공격의 핵심에 '레드 멘션(Red Menshen)', '어스 블루크로우(Earth Bluecrow)'로 알려진 중국 기반의 지능형 지속 위협(APT) 그룹이 있는 것으로 분석하고 있다. 이들은 최소 2017년부터 활동해왔으며, 주로 각국 통신사와 정부 기관, 금융권 등을 표적으로 삼아왔다.
이번 SKT 공격에 사용된 핵심 악성코드가 'BPFDoor'라는 점에 주목할 필요가 있다.
리눅스 서버를 대상으로 은밀하게 작동하는 백도어며일반적인 포트 스캔 방식으로는 탐지가 매우 어렵고, 공격자가 지정한 특정 신호('매직 패킷')를 통해서만 활성화되어 장기간 탐지를 회피하는 데 특화된 것으로 알려졌다.
실제로 SKT 시스템에는 해당 악성코드가 2022년 6월 15일 최초 설치된 것으로 확인되어 공격 조직이 약 2년 10개월간 잠복하며 정보를 수집했을 가능성에 무게가 실리고 있다. 민관 합동 조사단 역시 SKT 시스템에서 BPFDoor의 다수 변종과 함께 웹셸(WebShell) 등 총 25종의 악성코드를 발견했으며, BPFDoor가 주로 중국계 해커 그룹이 사용하는 수법이라고 밝혔다.
보안업계는 SKT 해킹에 쓰인 악성코드가 'BPFDoor' 레드 멘션의 과거 행적과 유사하다는 점에 주목하고 있다. 실제로 글로벌 보안 기업 트렌드마이크로는 이미 2024년 7월과 12월, 레드멘션(어스 블루크로우)이 BPFDoor 악성코드를 사용해 국내 통신사를 공격했다고 보고한 바 있다. 또 PwC, S2W 등 다수의 보안 기업들도 BPFDoor 악성코드와 레드 멘션의 연관성을 꾸준히 지적해왔다.
BPFDoor의 소스코드가 2022년 외부에 유출되어 다른 공격 그룹이 이를 활용했을 가능성도 배제할 수는 없다. 그러나 사용된 전술, 기술, 절차(TTPs) 등을 종합적으로 고려할 때 레드멘션이 주 공격 주체라는 분석이 지배적이다.
 |
국가적 차원의 사이버 위협... 대응책 강화 시급
SKT 측은 현재 무료 USIM 교체, USIM 보호 서비스 제공 등 가입자 피해 최소화와 보안 강화 조치를 시행하고 있다고 밝혔다. 과학기술정보통신부와 한국인터넷진흥원(KISA) 등 관계 당국은 정확한 피해 규모와 공격 경로를 파악하기 위한 조사를 진행하는 한편, '무료 SIM 교체' 등을 사칭한 스미싱 문자 등 2차 피해에 대한 주의를 당부했다.
이번 사태는 국가 핵심 통신 인프라가 해외 해커 조직의 사이버 스파이 활동 및 교란 작전의 주요 표적이 될 수 있음을 여실히 보여준 사례로 평가된다.
전문가들은 장기간 탐지가 어려운 고도화된 APT 공격에 대응하기 위해 기업의 선제적인 위협 탐색 및 대응 역량 강화, 정부 차원의 국제 공조 및 핵심 인프라 보안 기준 강화가 시급하다고 입을 모은다.
 |
중국發 사이버 공격, 전방위 확산… "일상까지 파고든다"
레드 멘션이 작정하고 달려들면 천하의 SKT 방어벽이라도 무너질 수 밖에 없다는 말까지 나온다. SKT의 실책이 크지만, 이 세상에 뚫리지 않는 방어벽이란 존재하지 않기 때문이다. 물론 거듭 강조하지만 아직 중국 해커의 소행이라는 확증은 없다. 그러나 미중 패권전쟁을 치르며 급격히 성장한 중국 해커들이 사실상 '넘사벽'의 괴력을 가진 자들이라는 것은 잘 알려진 사실이다.
실제로 이들은 정부 기관, 첨단 기술 기업은 물론, 일반 시민 생활과 직결된 중요 인프라까지 무차별적으로 공격하며 피해를 확산시키고 있다. 특히 AI를 악용한 신종 해킹 수법까지 등장하면서 그 위협은 더욱 거세지는 양상이다. 전문가들은 중국발 사이버 위협의 심각성을 경고하며, 국제사회의 공동 대응과 함께 국가 및 개인 차원의 철저한 보안 대비를 주문하고 있다.
최근에는 중국의 사이버 위협이 국가기관, 민간 계약업체, 심지어 '애국적 해커'로 불리는 비공식 네트워크까지 아우르는 다층적 구조를 통해서도 자행되고 있다. 과거 인민해방군(PLA)이 중심 역할을 했으나 2024년 4월 사이버 역량이 인민해방군 사이버공간부대로 이관되는 등 조직 개편을 통해 효율성과 중앙 통제력을 강화하는 추세다.
시진핑 주석 집권 이후에는 국가안전부(MSS)가 사이버 스파이 활동의 핵심으로 부상해 다수의 지능형 지속 위협(APT) 그룹을 지휘하는 것으로 알려졌다. 공안부(MPS) 또한 네트워크 공격 부대를 운용 중인 것으로 파악된다.
충격적인 사실은 민간 기업까지 정부의 해킹 용역을 받아 활동한다는 점이다. 최근 발생한 '아이순(I-SOON)' 정보 유출 사건은 이러한 '고용 해킹(hack-for-hire)' 생태계의 실체를 드러냈다.
당장 아이순과 같은 민간 기업들은 국가 정보기관의 하청을 받아 외국 정부, 기업, 심지어 중국 정부 비판 세력까지 공격 대상으로 삼으며 막대한 데이터를 탈취해 온 것으로 밝혀졌다. 중국 정부가 2017년 제정한 사이버보안법은 발견된 모든 취약점을 의무적으로 정부에만 보고하도록 규정하고 있으며, 이는 국가가 취약점 정보를 독점하고 이를 국가기관 및 계약된 민간 해커들에게 제공해 공격 역량을 강화하는 통로가 될 수 있다는 지적이다.
중국 해커들의 공격 동기는 이제 단순히 금전적 이익을 넘어선다. 가장 큰 목표 중 하나는 외국 기업의 지식재산권, 산업 기밀 등을 절취해 자국의 기술 및 경제적 우위를 확보하는 것이다. 특히 '중국 제조 2025'와 같은 국가 산업 정책과 맞물려 AI, 양자컴퓨팅, 항공우주 등 첨단 기술 분야가 주요 표적이 되고 있다.
국가 안보와 관련된 정보 수집 역시 핵심 목표다. 외국 정부의 정책, 군사 전략, 국방 기술 등을 탈취해 잠재적 위협에 대비하고, 국내외 반체제 인사나 소수 민족에 대한 감시 활동도 서슴지 않는다. 최근에는 다른 나라의 정치적 상황에 개입하고 여론을 조작하려는 정보 작전까지 벌이는 것으로 나타났다. 허위 정보 유포, 정치인 해킹 등을 통해 국제사회에서 자국의 영향력을 확대하려는 시도다.
일부 해커 그룹(APT41 등)은 국가 지원 임무 외에 개인적인 금전적 이익을 위해 랜섬웨어 공격이나 가상화폐 탈취와 같은 사이버 범죄도 병행하는 것으로 드러나, 공격 주체 식별을 더욱 어렵게 만들고 있다.
중국 해커들의 공격 수법은 날로 지능화되고 있다. 특정 개인이나 조직을 노린 맞춤형 스피어 피싱 이메일은 여전히 주요 침투 경로이며, 소프트웨어의 알려지지 않은 취약점(제로데이)을 악용하는 공격은 방어가 매우 어렵다. 최근에는 정상적인 시스템 도구를 활용해 악성 행위를 숨기는 'Living Off the Land (LotL)' 기법이 확산하고 있으며, 공급망의 약한 고리를 노려 여러 목표를 동시에 감염시키는 공급망 공격도 빈번하게 발생한다.
특히 우려스러운 점은 AI를 활용한 공격의 등장이다. AI를 통해 더욱 정교하고 설득력 있는 피싱 메시지를 대량 생산하거나, 악성코드 개발 및 디버깅에 활용하는 사례가 보고되고 있다. 또한, 전력망, 통신, 교통 등 국가 핵심 인프라에 미리 침투해 유사시 시스템을 마비시키려는 사전 잠입 활동도 포착되고 있어 안보에 심각한 위협으로 떠오르고 있다. 실제로 'Volt Typhoon'과 같은 그룹은 이러한 중요 인프라 공격에 특화된 것으로 알려졌다.
최신 보고에 따르면, 올해 들어 미국에 대한 중국 연계 APT 공격이 136% 급증했으며, 새로운 중국 연계 해커 그룹도 다수 식별되는 등 활동량이 폭증하고 있다. 이들은 기존의 무차별적인 정보 탈취 방식에서 벗어나 더욱 표적화되고 은밀한 방식으로 진화하고 있다.
과거 미국 인사관리처(OPM)에서 2200만 명 이상의 전·현직 연방 공무원 개인 정보가 유출된 사건, 신용평가기관 에퀴팩스에서 1억 4700만 명의 개인 정보가 털린 사건 등은 중국 배후 해커들의 소행으로 지목되며 큰 파장을 일으켰다. 최근에는 전 세계 주요 통신사들이 공격받아 민감한 통신 내용이 유출되거나 도청 시스템이 장악당할 위험에 처하기도 했다.
 |
국제사회 공동 대응 움직임… 중국은 "우리도 피해자" 발뺌
중국발 사이버 위협이 고조되자 국제사회도 공동 대응에 나서고 있다. 미국은 해킹에 관여한 중국 국적자 및 기업을 기소하고 제재를 부과하는 한편, 동맹국들과 공조해 관련 정보를 공유하고 방어 태세를 강화하고 있다.
유럽연합(EU) 역시 사이버 공격 책임자에 대한 제재 프레임워크를 가동하고 있으며, 영국, 호주, 일본 등도 중국의 악의적 사이버 활동을 규탄하며 독자적인 대응책을 마련 중이다. 일본은 최근 '능동적 사이버 방위' 개념을 도입해 선제적인 대응까지 고려하고 있다.
다만 중국 정부는 이러한 의혹을 전면 부인하며 오히려 자국이 사이버 공격의 피해자라고 주장하고 있다. 이러한 중국의 태도는 국제 공조를 통한 문제 해결을 더욱 어렵게 만드는 요인으로 작용하고 있다.
한편 전문가들은 중국발 사이버 위협이 앞으로 더욱 정교해지고 예측 불가능한 형태로 진화할 것으로 전망한다. 사물인터넷(IoT) 기기나 운영기술(OT) 시스템의 취약점을 노린 공격, 우주 자산과 같은 새로운 영역으로의 확산도 우려된다.
이에 따라 기업과 개인 모두 사이버 보안 의식을 높이고 철저한 대비 태세를 갖추는 것이 무엇보다 중요하다고 강조한다. 기업은 최신 보안 솔루션 도입, 정기적인 취약점 점검, 임직원 보안 교육 강화 등 다층적인 방어 체계를 구축해야 한다. 개인 역시 의심스러운 이메일이나 링크 클릭 자제, 비밀번호 주기적 변경, 소프트웨어 최신 업데이트 등 기본적인 보안 수칙을 생활화해야 한다는 평가다.
<저작권자 Copyright ⓒ 이코노믹리뷰 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.