통신사 노린 이례적 해킹…전문가들 '국가 주도 가능성' 경고

보안업계 "단기적 금전 취득 아닌 장기적 프로파일링 목적 가능성 있어"

[사진=게티이미지뱅크]

SK텔레콤(SKT)의 유심 교체 작업이 속도를 내고 있지만, 이용자들의 불안감은 여전히 가시지 않고 있다. 유심 보호서비스와 유심칩 교체를 통해 폰 복제에 대한 우려는 일부 해소됐지만, 정확히 어떤 정보가 유출됐는지에 대한 조사는 아직 진행 중이기 때문이다.

17일 통신·보안업계에 따르면, 민관합동조사단은 2차 조사 결과 발표를 앞두고 SKT 이용자 정보가 어떤 경로로 유출됐는지, 악성코드는 어떻게 침투시켰는지, 통화 내역 등 유출된 데이터 종류 등에 대한 조사를 집중적으로 진행 중이다. 경찰 또한 중국, 북한, 러시아 등의 해커 조직이 배후에 있을 가능성을 열어두고 수사 중이다.

민관합동조사단은 지난 4월 말 1차 조사에서 악성코드 4종을 발견한 데 이어 이달 3일에는 8종을 추가로 확인했다. 총 12종의 악성코드는 단말기 개인 인증을 담당하는 홈가입자서버(HSS)에서 발견됐다. 이 과정에서 유심 복제에 악용될 수 있는 가입자 전화번호, 가입자식별키(IMSI) 등 개인정보 4종과 SKT 내부 관리 정보 21종이 유출된 것으로 나타났다.

보안업계는 이번 해킹의 방식이 일반적이지 않다고 분석한다. 일반적인 해킹은 금전 탈취나 정치적 메시지 전달, 혹은 해킹 실력 과시를 목적으로 삼지만, 이번 사건은 세 가지 유형 중 어느 하나에도 속하지 않기 때문이다. 보안 전문가들은 오히려 이번 사건이 장기적 목적을 지닌 지능형 지속 위협(APT)일 가능성이 높다고 본다.

김명주 서울여대 정보보호학과 교수는 “국가 단위에서 개인의 휴대폰 기본 정보를 확보하면 그것이 키가 돼 수많은 온라인 정보를 조합할 수 있고, 이를 통해 실시간 개인 추적도 가능하다”며 “유출된 정보는 주민등록번호나 IMEI처럼 금전적 가치가 높은 것은 아니지만, 제2의 범죄에 활용될 수 있다”고 지적했다. 이어 “이번 해킹은 국가 기밀을 확보하기 위한 기반 조성일 가능성도 있다”고 덧붙였다.

보안 전문기업 트렌드마이크로는 지난해 7월과 12월, 한국 통신사를 대상으로 BPF도어 계열의 악성코드가 사용된 해킹 공격이 있었다고 밝혔다. BPF도어는 리눅스 운영체제의 패킷 필터링 기술을 악용한 방식으로, 통신뿐만 아니라 금융, 리테일 등 다양한 분야를 겨냥해왔다. 해당 수법은 한국, 홍콩, 미얀마, 말레이시아, 이집트 등에서도 포착된 바 있다.

해킹의 또 다른 목적은 통화내역 추적이라는 분석도 나온다. 보안업계에 따르면, 통신사를 겨냥한 공격은 통화 상세 기록(CDR) 등 메타데이터를 수집하려는 의도가 크다. 실제로 지난해 미국에서는 중국 연계 해커 조직이 AT&T, 버라이즌 등 통신사 9곳을 해킹해 당시 트럼프 대통령 당선인, JD 밴스 부통령 당선인, 해리스 부통령 캠프, 슈머 상원 원내대표 보좌진 등의 통화·문자 정보를 탈취했다. 이들은 통신사 감청 시스템까지 침투해 도·감청 정보까지 확보한 것으로 알려졌으며, 이번 사건은 특정 인물을 노린 APT로 평가됐다.

김승주 고려대 정보보호대학원 교수는 “정치권과 일부 언론은 이번 해킹을 금융 사기나 이중 인증 무력화 등 금전적 피해로만 해석하고 있다”며 “그러나 실제 목적은 통화 상세 기록(CDR) 등 메타데이터 수집에 있을 가능성이 높다”고 말했다.

글로벌 보안업체 사이버리즌도 이와 유사한 분석을 내놓고 있다. 사이버리즌에 따르면, APT 조직의 통신사 해킹은 수개월에서 1년 이상 지속되는 장기적이고 은밀한 방식으로 진행되며, 특정 인물의 통화 상대, 시간, 위치 정보 확보가 주요 목표다. 이는 국가 차원의 전략적 감시 활동으로도 해석될 수 있다.

한 보안 기술자는 “침해 사고의 범위를 정확히 파악해야 유출된 정보가 무엇이고, 해커의 목적과 배후를 밝힐 수 있다”며 “단순히 정보 유출 피해만 보는 데 그치지 말고, 해커 추적에도 힘을 쏟아야 한다”고 강조했다.