SK텔레콤 가입자 유심(USIM) 정보 해킹 사고에 따른 유심 무료교체 서비스 이틀째인 29일 서울의 한 T월드 직영 매장에 유심보호 서비스 가입 안내문이 붙어 있다. 남동균 인턴기자

정부가 SK텔레콤 해킹 사고 중간 조사 결과를 발표하며 “단말기 고유식별번호(IMEI) 유출은 없었다”고 밝혔다. ‘복제폰’ 범죄로 직결될 '최악'은 면했다는 뜻이다. 그러나 가입자 식별키(IMSI) 등 유심 복제에 활용될 수 있는 주요 정보가 상당 부분 유출돼 2차 피해 위험은 남아 있다. 가입자의 정보가 담긴 핵심 서버에 악성코드가 침투한 경로에 대해서도 추가 조사가 필요하다.

과학기술정보통신부는 29일 SKT 해킹 사고 1차 조사 결과를 발표했다. 공격을 받은 서버 3종, 5대를 민관합동조사단이 조사한 결과 △가입자 전화번호 △가입자 식별키(IMSI) 등 유심 복제에 활용될 수 있는 정보 4종과 유심 정보 처리에 필요한 △SKT 관리용 정보 21종이 유출됐다. 악성코드가 발견된 홈 가입자 서버(HSS)에 저장됐던 주요 정보가 빠져나간 것이다.

폰 주인 행세, 주도권 탈취 우려 여전

과기정통부는 다만 당초 우려됐던 IMEI 유출은 없었다며, “현재 SKT가 시행 중인 유심보호 서비스에 가입하면 유출 정보로 유심을 복제해 이를 다른 휴대폰에 꽂아 불법 행위를 하는 ‘심 스와핑’ 이 방지된다”고 설명했다. 이번에 IMEI가 유출되지 않았기 때문에, 전산망에 등록된 서비스 가입자 정보와 네트워크망 접속을 시도하는 IMEI를 대조하는 식으로 복제 여부를 가려낼 수 있다는 것이다.

그러나 이번에 유출된 가입자 전화번호와 IMSI 등을 이용하면 유심 복제 자체는 가능한 만큼 안심하기엔 이르다. 혹시 다른 경로로 IMEI가 유출됐다면 복제한 유심을 다른 휴대폰에 꽂아 휴대폰 주인인 것처럼 행세할 수 있다. 이번 해킹에서 빼돌린 정보와 다른 정보들을 조합해 스미싱 공격을 할 수도 있다. 사용자가 스미싱에 넘어가면 스마트폰 주도권 탈취가 가능하다. 이에 조사단은 여전히 유심 교체를 적극 권장했다. 한국인터넷진흥원(KISA) 역시 스마트폰 재부팅을 요구하는 등의 피싱 메시지를 주의하라고 당부했다.

그래픽=신동준 기자

"누구나 변종 악성코드 만들 수 있어"

과기정통부는 이번 조사과정에서 ‘BPF도어’ 계열의 악성코드 4종을 발견했다고 밝혔다. BPF도어는 2021년 처음 포착된 수법으로, ‘백도어(Backdoor)’ 해킹의 일종이다. 시스템에 몰래 ‘뒷문’을 만들어 정상 보안 절차를 무시한 채 드나드는 것이다. BPF(Berkeley Packet Filter)는 리눅스 운영체제에서 네트워크를 오가는 데이터를 검사해 차단 여부를 제어하는 기술인데, 여기에 뒷문을 만들어 문지기를 무력화한 것이다.

과기정통부가 지적한 대로 BPF도어 악성코드는 “은닉성이 높아 해커의 통신 내역을 탐지하기가 어려운” 강적이다. 일반적인 백도어 수법은 네트워크 통신의 통로인 ‘포트’를 열고 해커의 접속이나 명령을 기다린다. 그러나 BPF도어는 이 과정 없이 BPF라는 정상 프로세스로 위장해 잠복한 뒤 데이터 탈취 같은 명령을 수행한다. 때문에 ‘포트 스캐닝’을 비롯한 기존 보안 기법으로 사전 탐지가 어렵다.

BPF도어가 ‘오픈소스’로 공개된 것도 위험 요소다. 이를 활용해 누구나 손쉽게 변종 악성코드를 만들 수 있기 때문이다. 보안기업 잉카인터넷 관계자는 “오픈소스로 공개된 악성코드를 활용하면 간단한 수정만으로도 기존 탐지 방법을 피할 수 있고 다른 종류의 악성코드와 통합도 가능해진다”고 설명했다. BPF도어는 주로 중국 기반의 해킹 그룹이 사용한다고 알려져 있지만, 소스가 공개된 만큼 공격자를 특정하기보다는 여러 가능성을 열어둬야 한다는 지적이 나온다.

무엇보다도 재발 방지를 위해 악성코드가 주요 서버에 침투하게 된 경로를 면밀히 조사해야 한다. 안랩 관계자는 “악성코드는 최종 단계일 뿐, 해당 악성코드가 설치되기까지 공격자의 초기 침투 경로와 시스템 권한 장악 등 해킹 수법 분석이 핵심”이라고 말했다.

한국일보

신혜정 기자 ([email protected])