2022년 비정상 서버 발견에도 신고 안해
[하비엔뉴스 = 한주연 기자] 지난 4월 SK텔레콤 해킹 사고에 대한 민관 합동 조사단의 최종 조사에서 해커들로부터 공격이 2021년부터 이뤄졌고 SKT가 2022년 자체 조사로 침해 사실을 발견하고도 제대로 조치하지 않아 사태를 키웠던 것으로 드러났다.
 |
| 류제명 과학기술정보통신부 2차관이 4일 정부서울청사에서 SK텔레콤 해킹 사태 관련 최종 조사결과를 발표하고 있다. [사진=SK텔레콤] |
과학기술정보통신부를 주축으로 하는 민관 합동 조사단은 4일 정부서울청사에서 지난 4월 23일 조사단을 구성한 이래 진행한 SKT 서버 4만2600대에 대한 전수 조사 결과를 최종 발표했다.
해커가 SKT 내부 서버에 최초로 악성코드를 심은 시점은 2021년 8월 6일로 파악됐다. 해커는 외부 인터넷과 연결된 시스템 관리망 내 서버에 접속한 뒤 다른 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드를 설치했다.
당시 공격을 받은 서버에 다른 서버들을 관리할 수 있는 아이디, 비밀번호 등 계정 정보가 암호체가 아닌 평문으로 저장돼 있어서 취약할 수밖에 없는 상황이었다.
이를 악용한 해커는 통신사의 핵심 네트워크인 음성통화인증 관리 서버(HSS)에 같은 해 12월 접속한 뒤 BPF도어라는 강한 은닉성의 리눅스용 악성 코드를 심어 서버를 제어하기 시작했다.
해커가 SKT 내부 서버에 심은 악성코드는 BPF도어 계열 27종을 포함해 모두 33종으로 파악됐다. 타이니쉘 3종, 웹쉘, 오픈소스 악성코드인 크로스C2, 슬리버 각각 1종이다.
해커는 지난 4월 18일 HSS 3개 서버에 저장된 유심정보 9.82GB(기가바이트)를 외부로 빼돌렸다. 민관 합동 조사단은 가입자 전원의 유심(USIM) 정보에 해당하는 분량이라고 밝혔다.
조사단은 "이번 침해사고와 연관성은 없지만 공급망 보안 관리 취약으로 악성코드 1종이 SK텔레콤 서버 88대에 유입된 것을 확인했다"라고 지적했다.
문제는 SKT가 해커로부터 치밀한 사이버 공격을 받는 동안 특이점을 발견하고도 당국에 알리지 않은 채 자체적인 해결책으로 대응하다 사태를 키웠던 것으로 드러났다는 점이다.
조사단은 SKT가 2022년 2월 23일 특정 서버에서 비정상적인 재부팅을 발견하고 자체 점검하는 과정에서 악성코드에 감염된 서버를 발견, 조치했지만 신고 의무를 지키지 않아 3000만원 이하 과태료 부과 대상이라고 밝혔다.
조사단은 또 SKT가 시스템 관리망 내 서버의 계정 비밀번호를 변경하지 않았다고 밝혔다. 비밀번호 만료일이 설정되지 않았고 변경 이력도 없었다는 지적이다.
조사단은 아울러 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값 암호화를 세계이동통신사업자협회(GSMA)가 권고하며 KT, LG유플러스 등이 하는데도 이 회사만 암호화하지 않은 점, 지난 4월 해킹이 드러나며 자료 보전 명령을 받았음에도 서버 2대를 포렌식 분석이 불가능한 상태로 조치해 제출한 점 등도 문제삼았다. 조사단은 "자료 보전 명령 위반과 관련해서는 수사기관에 수사를 의뢰할 예정이다"라고 밝혔다.
조사단은 재발 방지 대책으로 서버 등 네트워크가 연결되는 장치에서 일어나는 모든 활동을 감지·분석하는 EDR 설루션 및 백신 적용, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기 점검, CISO를 최고경영자(CEO) 직속 조직으로 격상 등을 요구했다.
조사단은 유심 복제에 악용될 수 있는 단말기식별번호(IMEI)나 개인정보가 평문으로 임시 저장된 서버들을 발견했지만, 정밀 분석 결과 방화벽 로그 기록이 남아있는 기간인 지난해 12월 3일부터 사고 발견 직후까지 유출 정황이 없었다고 밝혔다.
그러나 악성코드 감염 시점인 2022년 6월부터 지난해 12월 2일까지는 로그기록이 없어 유출 여부를 단언하지 못하는 상황이다.
조사단은 "SKT가 자체 보안규정에 따라 로그기록을 6개월 이상 보관해야 하지만 방화벽 로그를 4개월간만 보관해 중요 정보의 유출 여부를 면밀히 조사하는 데 한계가 있었다"면서 보완대책을 요구했다.
과기정통부는 SKT가 보안 관리에서 과실이 있었다며 의무 가입 기간이 남은 이용자의 계약 해지 시 위약금 면제를 요구했고 SKT에 재발 방지 대책에 따른 이행계획을 이달 내 제출할 것과 이행 여부를 올해 말 점검하겠다고 강조했다.
[저작권자ⓒ HBN뉴스. 무단전재-재배포 금지]
