[임경호 기자]
SK텔레콤 서버 해킹 사건의 배후에 관심이 집중되고 있다. 중국이나 북한 해커집단의 연루 가능성이 제기된다. 특히 피해 범위가 국내 인구의 절반에 달할 수 있다는 점에서 문제를 바라보는 시각이 단일 기업의 보안 이슈를 넘어 사이버안보 관점으로 이동하는 흐름도 관측된다.
과학기술정보통신부는 지난 21일 SK텔레콤 해킹 사건과 관련해 "현재까지 해킹의 주체 등은 확인된 바 없다"고 밝혔다. 이번 사건의 공격 주체가 북한이라는 언론 보도에 대해 설명자료를 배포한 것이다. 하지만 관련 정보가 점차 드러나면서 해킹 사건의 관심이 피해 사실을 넘어 공격 주체에 집중되고 있다.
 |
SK텔레콤 서버 해킹 사건의 배후에 관심이 집중되고 있다. 중국이나 북한 해커집단의 연루 가능성이 제기된다. 특히 피해 범위가 국내 인구의 절반에 달할 수 있다는 점에서 문제를 바라보는 시각이 단일 기업의 보안 이슈를 넘어 사이버안보 관점으로 이동하는 흐름도 관측된다.
과학기술정보통신부는 지난 21일 SK텔레콤 해킹 사건과 관련해 "현재까지 해킹의 주체 등은 확인된 바 없다"고 밝혔다. 이번 사건의 공격 주체가 북한이라는 언론 보도에 대해 설명자료를 배포한 것이다. 하지만 관련 정보가 점차 드러나면서 해킹 사건의 관심이 피해 사실을 넘어 공격 주체에 집중되고 있다.
보안업계에서는 현재까지 드러난 정보를 바탕으로 해킹 공격의 배후를 찾는 과정이 곧 공격의 목적과 범위를 규명하는 과정이 될 수 있다는 지적이 나온다. 2차 조사 결과만으로 구체적인 국적이 특정되진 않았지만 공격 양상과 사용된 수법을 고려할 때 북한의 국가지원 해커집단 혹은 중국계 위협그룹의 관여 가능성이 주목받고 있다.
특히 3년에 가까운 악성코드 침투 시기와 이에 따른 탈취 방식과 관련해 지능형 지속 공격(APT)이 거론된다. 이는 2010년대 초중반부터 안다리엘, 라자루스, 김수키 등 유명 북한 해커 그룹들이 단행해온 공격 방식으로 꼽힌다. 특정 타깃을 미리 선정해 진행하는 '표적형 공격'은 통상 사회 혼란을 초래하거나 정보 탈취를 목표로 진행돼왔다.
이들 북한 해커 그룹들도 국내 금융권의 취약점을 파고드는 공격을 단행하거나 국가 주요 시설 도면 탈취, 병원 내부망 침입 등을 단행한 바 있다. 다만 일부 단서를 두고 배후를 섣불리 단정하는 일엔 주의가 필요하다는 지적도 제기된다. APT 공격이 통상적인 목표를 벗어나 금전적 이득을 취하거나 특정 인물에 대한 감시를 목표로 단행되는 변수도 있어서다.
 |
지난 19일 과학기술정보통신부는 서울 정부서울청사에서 'SK텔레콤 침해사고 관련 민관합동조사단 중간 조사 결과'를 발표했다. 사진은 최우혁 조사단 단장. /사진=정부 이브리핑시스템 |
후속 대응의 정확성 측면에서도 배후에 대한 관심이 고조된다. 예컨대 공격자가 집단일 경우와 개인 해커의 경우는 대응 방식도 달라진다. 국가지원을 받는 해커 그룹은 풍부한 자원과 고급 기술을 바탕으로 장기적이고 복합적인 공격을 감행하기 때문에 단순 기업 대응을 넘어 국가 간 협력, 정보 공유, 국제 제재 등 전략적 접근이 요구된다.
실제로 미국 재무부는 2020년 북한 해킹 그룹 라자루스의 가상자산 탈취 건에 연루된 이들을 특별 제재 대상으로 지정하고, 자산 동결 등의 조치를 통해 사실상 미국 내 경제활동을 금지한 바 있다. 당시 재무부는 북한 정권이 자금을 빼돌리기 위해 금융기관들을 대상으로 광범위한 사이버 공격을 지속해 왔다고 보고 이에 대한 엄정 대처 방침을 발표한 바 있다.
보안업계 관계자는 "탐지가 어려웠다는 점에서 백신 프로그램에 악성코드에 대한 정보가 장기간 업데이트되지 않았다는 점을 유추할 수 있고, 이는 불특정 다수의 감염을 목표로 하는 것보다 특정 타깃을 두고 설계한 악성코드의 가능성을 생각하게 한다"며 "배후를 특정하면 후속 대응이 가능하고 경우에 따라 공격자를 위축시키는 효과도 줄 수 있다"고 말했다.
사이버안보 측면의 인식 전환 흐름도 관측된다. SK텔레콤의 가입자 수는 2500만명에 달하는데, 유심 가입자 식별키(IMSI) 유출 건수는 가입자 수를 상회하는 2695만7749건에 이른다. 피해 범위가 사실상 대한민국 국민 절반에 달할 수 있다는 경각심을 바탕으로 이번 사건이 단순한 데이터 유출 사고를 넘어 사회 전반의 신뢰 시스템을 흔드는 중대한 사건으로 간주될 수 있다는 시각이다.
국회에서도 이 같은 지점을 짚은 바 있다. 국제질서전환기속국가전략포럼이 지난 7일 주최한 국가사이버안보 세미나에 참석한 전웅렬 광주대 교수는 조용한 곳에서 은밀하게 진행되는 사이버전의 특징을 지적하며 "우리나라도 사이버 전쟁에 대응하기 위해 대응이 아닌 예방의 관점으로 전환해야 한다"고 제언했다.
한편 민관합동조사단은 지난 19일 SK텔레콤 해캉 사건 2차 조사 결과를 발표했다. 이에 따르면 SK텔레콤에서 현재까지 유출된 유심 정보는 총 25종이다. 유출 정보 총량은 9.82기가바이트(GB), 유심 가입자 식별키(IMSI)는 2695만7749건이 노출됐다. 웹셸 1종과 BPF도어 24종 총 25종의 악성코드가 발견됐으며 감염서버는 총 23대다. 최초 해킹 시점은 2022년 6월 15일로 특정됐다. SK텔레콤이 해킹 사실을 최초 인지한 시점은 지난달 18일이다.
임경호 기자 lim@techm.kr
<저작권자 Copyright ⓒ 테크M 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.