SKT 해킹 한달...BPF도어 공격에 IMEI 유출 가능성까지 풀리지 않는 쟁점들

[이진호 기자]

22일 서울 시내 한 SK텔레콤 공식인증 대리점에서 고객들이 유심 교체를 위해 대기하고 있다. [사진: 연합뉴스]

[디지털투데이 이진호 기자] SK텔레콤 유심 해킹 사태가 드러난지 한달이 지났지만 여전히 쟁점이 끊이지 않고 있다. SKT 사용자들의 불안은 계속되고 있으며 민관합동조사단의 조사도 진행 중이다.

현재까지 드러난 사실은 가입자 식별번호(IMSI)가 유출됐고, 단말기 식별번호(IMEI) 등이 담긴 서버가 공격당했다는 것. 악성코드로는 BFP(Berkeley Packet Filter)도어와 웹셸이 사용됐다. 로그가 남아있지 않은 기간 IMEI 유출 여부는 확인되지 않았다.

SKT를 노린 해커가 활용한 공격 방법은 무엇이고 주의해야 할 위협은 무엇일까. 지난 한달 간 밝혀진 사태 관련 쟁점을 정리해봤다.

◆'은닉성' 강한 BPF도어 심어…웹셸도 발견

현재까지 조사단 발표에 따르면 확인된 감염서버는 총 23대다. 악성코드는 BPF도어 계열 24종과 웹셸 1종 등 총 25종이 발견됐다.

BPF도어 악성코드 공격은 2021년 PWC 위협 보고서를 통해 처음 알려졌다. BPF도어의 가장 큰 특징은 '은닉성'이다. 네트워크에서 특정 데이터를 골라내는 BPF를 악용해 시스템에 숨어든다. 일단 심어진 BPF도어는 특정 신호, 이른바 '매직 패킷'이 들어오면 작동을 시작하기 때문에 일반적인 모니터링 툴로는 발견하기 어렵다.

BPF도어 사용이 알려지며 중국 개입설이 돌았다. 주로 중국 해커들이 사용하는 수법이기 때문이다. 보안업체 트렌드마이크로가 지난달 펴낸 보고서에 따르면 지난해 7월과 12월 두 차례에 걸쳐 한국 통신사가 BPF도어 공격을 받았다. 트렌드마이크로는 중국의 지능형 지속 공격(APT) 해커 집단인 '레드 멘션'을 배후로 지목했다.

반면 웹셸은 더 기초적인 악성코드다. 웹셸은 원격에서 서버를 제어하는 방식으로 BPF보다는 은닉성이 낮다. 운영체제 커널과 사용자를 이어주는 셸(Shell)을 이용한다. 이동근 KISA 디지털위협대응본부장은 지난 19일 조사단 2차 발표 브리핑에서 "웹셸이 최초 감염 시점과 연관된 부분이 있다"며 "웹셸이 설치되고 그 이후 BPF도어가 설치된 순서"라고 설명했다.

정확한 해킹 전말을 확인하기까지는 시간이 걸릴 전망이다. 아직 구체적인 침투 경로와 규모가 확인되지 않았다. 일각에서는 북한 소행설을 제기한다. 조사단은 "해킹 주체 등의 조사는 수사기관에서 담당하고 있다"며 "현재까지 해킹의 주체 등은 확인된 바 없다"고 밝혔다.

최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관합동 조사결과 2차 발표 브리핑을 하고 있다. [사진: 연합뉴스]

◆IMEI 털리면?…로그는 왜 없었나

조사단에 따르면 지금까지 빠져나간 유심 정보는 9.82GB. IMSI 기준 2695만7749건이다. 2차 조사에서는 공격받은 서버 중 2대의 임시저장 파일에 IMEI 29만1831건이 포함된 사실도 확인됐다.

IMEI 유출은 위협을 높이는 요소다. IMEI는 단말기에 부여되는 고유 식별번호로 자동차 차대번호를 생각하면 쉽다. 유출된 IMSI와 함께 IMEI 등을 활용하면 복제폰 제작이 100% 불가능한 건 아니라는 게 업계 중론이다. 조사단이 1차 발표 때 IMEI 유출 가능성에 선을 그었던 것도 이 때문이다.

유출 가능성도 완전히 배제할 수 없다. 로그 기록이 있는 2024년 12월3일∼2025년 4월24일 사이에는 IMEI 유출이 없었지만, 최초 공격 시점인 2022년 6월15일부터 지난해 12월 2일까지는 로그가 없어 유출 여부가 확인되지 않았다.

개인정보보호법에 따르면 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템은 로그를 2년 이상 보관해야 한다. 하지만 SKT는 임시 저장 서버라 개인정보시스템으로 분류하지 않은 것으로 보인다. SKT 측은 로그가 없는 기간에도 유출이 없었다고 주장하고 있다. 추가 조사가 필요한 부분이다.

로그 기간과 별개로 미리 발견하지 못한 건 공격 특성 때문이라는 설명이다. 류정환 SKT 네트워크인프라 센터장은 "APT가 들어오면 해커들이 어떤 것을 유출할 때까지 2년이나 3년 등 오래 걸릴 수 있다"며 "증적을 찾기 상당히 어렵다"고 해명했다. 류 센터장은 또 해커들이 공격날짜를 조작했을 가능성도 열어놨다.

SKT는 통화 상세 기록(CDR) 유출 가능성엔 선을 그었다. CDR이 빠져나가면 통화 상대, 시각, 빈도, 위치 정보 등을 파악해 개인 행동패턴 확인으로 이어질 수 있다. 류정환 센터장은 "이중 장치로 CDR을 보관하고 있으며 암호화도 일정 부분 돼 있다"고 말했다.

◆FDS와 유심보호서비스

SKT는 IMEI가 혹여 유출 됐더라도 복제폰 피해를 피해를 막을 수 있다고 주장한다. IMEI 정보를 인증하는 키값을 단말기 제조사가 가지고 있어서다. 불법 복제를 위해서는 단말기 제조사와 이동통신사 이중 인증을 모두 통과해야 하기 때문에 현실적으로 불가능하다는 설명이다.

SKT는 조사단 2차 발표 이후 비정상 인증 차단 시스템(FDS) 2.0·유심보호서비스·유심 교체를 묶은 '고객 안심 패키지'를 소개했다. 특히 FDS 2.0은 피해를 막을 수 있는 핵심 솔루션이라는 게 SKT 설명이다.

FDS 2.0은 기존 유심 복제 차단 기능을 넘어 단말 자체 복제 여부까지 판단해 망 접속을 차단하는 시스템이다. 불법 복제폰 접속을 비롯해 다양한 비정상 인증 시도를 네트워크에서 실시간 감지·차단한다.

김희섭 SKT PR센터장은 "(FDS 2.0이 있기 때문에) 다른 기술은 필요 없다는 건 전혀 아니다"며 "작동하는 방식이나 막아내는 대상이 다르기 때문에 종합적으로 안심 패키지를 마련한 것"이라고 설명했다.

김용대 카이스트 전기전자공학부 교수는 "SKT 유심만이 갖고 있는 고유정보를 인증해 이 정보가 없는 복제된 유심을 차단할 수 있다"며 "IMEI 등 단말정보와 무관하게 정상 단말 보안성을 강화한다"고 말했다.

한편, 해킹 사고 이후 유심을 교체한 SKT 고객은 323만명을 넘었다. 이심 교체자 36만3000명을 포함한 수치다. 지난 21일에는 하루 동안 36만명이 교체하며 일일 최고치를 넘어섰다. 유심 재설정 누적 가입자는 17만명이다.

<저작권자 Copyright ⓒ 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지>