위약금 면제와 별개로 SK텔레콤 해킹 사고에 따른 가입자들의 우려는 상당 기간 지속될 것으로 보인다. 사용자 통화 기록 등 민감한 정보가 담긴 서버마저 악성코드에 감염된 사실이 추가로 확인됐기 때문이다. 특히 정부와 정치권 인사의 통화 기록이 외부로 유출될 경우 국가 안보에도 치명적일 수 있는 만큼 SK텔레콤이 피해 예방 조치에 만전을 기울여야 한다는 전문가 지적이 나왔다.
4일 과학기술정보통신부 민관 합동조사단 조사 결과에 따르면 SK텔레콤 통신기록(CDR) 서버 1대가 2023년 1월 31일 악성코드에 감염된 것으로 확인됐다. 과기정통부는 “방화벽 로그 기록이 남아 있는 지난해 12월 9일부터 올해 4월 20일까지의 기간에는 정보 유출 정황이 없는 것을 확인했다”면서도 “악성코드 감염 시점으로부터 로그 기록이 없는 기간에는 정보 유출 여부를 확인하는 것이 불가능했다”고 설명했다. 최근 5개월을 제외한 지난 2년간 CDR 서버 내 악성코드에 의한 정보 탈취 여부는 정부도 장담할 수 없다는 것이다.
CDR 서버는 사용자가 언제 누구와 통화했는지를 알 수 있는 통화 시간, 수·발신자 전화번호 같은 통신 활동과 관련한 정보들을 저장한 서버다. 사생활 침해는 물론 국가 기밀을 탈취할 목적으로 고위급 인사의 기록이 중국·북한 등 해커그룹의 표적이 되기도 할 정도로 안보와 밀접한 관련이 있는 정보다. 복제폰 개통이나 명의 도용과 달리 해외에서 통화 기록이 불법 유통될 경우 피해 당사자가 이를 인지하고 경찰에 신고하기조차 어려워 사후 대응 역시 어렵다고 여겨진다. 박춘식 아주대 사이버보안학과 교수는 “통신 기록은 용도에 따라 심각한 피해를 낳을 수 있다”며 “피해 규모를 가늠할 수 없기 때문에 일단 해당 서버가 감염됐다면 그 안의 정보도 유출됐다고 전제하고 보안 대응을 해야 한다”고 지적했다.
단말기식별번호(IMEI) 서버와 홈가입자서버(HSS)도 악성코드에 감염됐다. IMEI는 스마트폰 등 단말기가 가지는 고유 번호로 가입자식별번호(IMSI)와 결합하면 복제폰 개통에 악용될 수 있다. IMEI 역시 2022년 6월 15일부터 지난해 12월 2일까지 로그 기록이 남아 있지 않은 기간에는 유출 여부를 확인할 수 없는 상황이다. 다만 아직 IMEI가 유출된 정황은 확인되지 않았고 SK텔레콤이 제공하는 유심 교체나 유심 보호 서비스를 통해 피해를 방지할 수 있다는 게 과기정통부의 설명이다. 류제명 과기정통부 2차관은 “단말기 복제가 불가능하다고 100% 말씀드리기는 어렵다”며 “다만 글로벌 제조 업체에 문의한 결과 IMEI가 유출됐다고 해도 (제조사 자체 보안 시스템으로) 단말기 복제는 불가능하다는 입장을 줬다”고 전했다.
HSS는 모든 가입자 유심 정보를 담은 핵심 서버다. HSS 공격으로 그 안에 들어 있던 총 25종, 용량 9.82GB, IMSI만 2696만 건에 달하는 유심 정보가 외부로 빠져나갔다. CDR, IMEI, HSS를 포함해 총 28대의 서버에 ‘BPF도어’ 27종을 포함한 악성코드 33종이 설치된 것으로 나타났다. BPF도어는 보안 탐지 시스템에 잘 들키지 않는 은닉성이 강해 오랫동안 서버에 잠입할 수 있어 보안 업계에서는 까다로운 공격으로 여겨진다. 중국 해커들이 즐겨 쓰는 것으로 알려졌다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
sookim@sedaily.com
