6일 오전 인천국제공항에 설치된 SKT 부스에서 직원이 유심을 교체하고 있다./뉴스1
SK텔레콤 서버 해킹 사건을 조사 중인 민관 합동 조사단이 최근 추가로 공개된 악성코드 8종에 대해 유입 시점, 경로, 위치 등을 분석 중이다. 이번에 확인된 악성코드들은 기존에 해킹 초기에 발견된 코드와 동일한 홈가입자서버(HSS)에서 발견된 것인지, 혹은 별도의 장비에서 발견된 것인지 여부가 조사 대상이다.
6일 업계에 따르면 SK텔레콤은 지난달 18일 데이터 유출 정황을 처음 감지했으며, 이후 과금 분석 장비와 홈가입자서버(HSS)에서 악성코드와 삭제 흔적을 확인한 바 있다. 한국인터넷진흥원(KISA)은 지난 3일 리눅스 시스템을 겨냥한 공격 사례가 발견됐다며 악성코드 8종을 추가로 공개했다.
민관 조사단은 해당 악성코드의 발견 위치, 생성 시점, 유입 경로 등에 대한 디지털 포렌식을 진행하고 있지만 구체적인 결과는 아직 확인 중이라고 밝혔다. 보안 업계 일각에서는 이반티(VPN 장비 제조사)의 취약점을 노린 공격일 가능성도 제기되지만, SK텔레콤의 리눅스 기반 서버가 실제로 어떤 VPN 장비를 사용 중인지는 확인되지 않았다.
과학기술정보통신부는 지난 3일 통신 3사와 네이버, 카카오, 쿠팡, 우아한형제들 등 주요 플랫폼 업체를 대상으로 정보보호 실태 점검에 나서며, 이번 해킹에 사용된 악성코드에 대해 플랫폼 기업들도 자체 점검할 것을 지시했다. 플랫폼 기업들이 사용 중인 VPN 장비의 보안 취약점 여부를 확인하라는 취지다.
과기정통부는 이번 사태가 국가 네트워크 전반의 보안과 안전에 중대한 영향을 미친다는 점에서 선제적 대응에 나선 것이라고 설명했다. 민관 조사단은 “플랫폼 업계에서 악성코드 관련 피해는 현재까지 보고된 바 없다”고 전했다.
한편, SK텔레콤이 전국 2600개 T월드 매장에서 신규 가입과 번호이동 접수를 중단한 지난 5일 하루 동안 총 1만3745명이 타 통신사로 이동한 것으로 나타났다. KT로는 7천87명, LG유플러스로는 6658명이 이동했으며, 연휴와 유심 보호 서비스 자동가입 조치 영향으로 이전보다 이탈 규모는 줄어든 것으로 분석된다.
