SKT 해킹 추가 악성코드 8종 조사…"유입 경로 분석 중"

SK텔레콤이 유심 고객정보 해킹 사고로 관련 유심 무료 교체 서비스에 나선 지난 28일 서울 시내 한 SKT T월드 매장 앞에 유심을 교체하려는 고객들이 영업 전부터 줄을 서 있다. [사진=연합뉴스]

SK텔레콤 서버 해킹 사건을 수사 중인 민관 합동 조사단이 최근 추가로 발견된 악성코드 8종의 유입 시기와 발견 위치와 관련해 집중 분석에 들어갔다.

6일 조사단에 따르면, 이번에 새롭게 확인된 악성코드들이 사건 초기 발견된 악성코드 4종과 마찬가지로 홈가입자서버(HSS)에서 탐지된 것인지, 아니면 별도의 서버 장비에 삽입돼 있었는지를 두고 정밀 분석이 진행 중이다.

SKT는 지난달 18일 데이터 유출 정황을 처음 포착했으며, 이후 과금 분석 장비와 HSS에서 악성코드 및 삭제 흔적을 확인했다. 한국인터넷진흥원(KISA)은 지난 3일 리눅스 시스템을 겨냥한 공격 사례를 공개하며 악성코드 8종을 추가로 발표했다.

민관 조사단은 해당 악성코드의 유입 경로, 생성 시점, 발견 위치 등에 대해 디지털 포렌식 작업을 진행 중이지만, 구체적인 분석 결과는 아직 나오지 않았다. 보안 업계 일각에서는 VPN 장비 제조사인 이반티(Ivanti)의 취약점을 노린 공격 가능성도 제기되고 있으나, SKT의 리눅스 기반 서버에서 어떤 VPN 장비를 사용 중인지는 확인되지 않았다.

과학기술정보통신부는 지난 3일 통신 3사뿐 아니라 네이버, 카카오, 쿠팡, 우아한형제들 등 주요 플랫폼 기업을 대상으로 정보보호 실태 점검에 착수했다. 특히 이번 해킹에 사용된 악성코드가 플랫폼 기업에도 영향을 미칠 수 있다고 보고, 각사에 자체 점검을 지시했다. VPN 장비의 보안 취약 여부를 점검하라는 취지다.

과기정통부는 이번 사태가 국가 네트워크 전반의 보안과 안전에 중대한 영향을 미친다고 보고, 선제적 대응에 나섰다고 설명했다. 민관 조사단은 “현재까지 플랫폼 업계에서 악성코드 관련 피해 사례는 보고된 바 없다”고 밝혔다.

한편 SK텔레콤이 전국 2600개 T월드 매장에서 신규 가입 및 번호이동 접수를 중단한 지난 5일, 하루 동안 총 1만3745명이 타 통신사로 이동한 것으로 나타났다. KT로는 7087명, LG유플러스로는 6658명이 옮겼다. 연휴 및 유심 보호 서비스 자동가입 조치 등의 영향으로, 이전보다 이탈 규모는 다소 줄어든 것으로 분석된다.