- 출처: 언더스탠딩, 3년전 시작된 SKT 해킹, 무서운 건 이겁니다.
- 출연: 고려대 김승주 교수
이번 SKT 개인정보 유출 사건의 민감합동 조사단의 2차 발표가 있었습니다. 언론 기사를 보고 많은 분들이 불안해하고 계세요. "읽어도 잘 모르겠어요", "도대체 뭔 소리를 하는지 모르겠어"라는 반응처럼, 어떤 내용을 걱정해야 할지 막막하신 분들을 위해 이번 포스팅 에서는 고려대학교 정보보호대학원 김승주 교수님의 분석을 바탕으로 이번 사건의 핵심 내용을 쉽게 정리해 보았습니다.
1. SKT 개인정보 유출 사건, 1차 발표와 2차 발표의 차이점
지난 5월 19일에 있었던 SKT 개인정보 유출 사건의 2차 조사 결과 발표에서는 1차 발표 이후 추가 조사를 통해 여러 새로운 사실들이 밝혀졌습니다. 가장 큰 변화는 발견된 악성 코드의 종류와 감염 서버 수가 크게 늘어났다는 점입니다. 1차 조사 때는 악성 코드 종류가 4가지였지만, 추가 조사 결과 21종이 더 발견되어 총 25종의 악성 코드가 확인되었습니다. 또한 악성 코드가 설치된 감염 서버도 1차 조사 때 5대에서 18대가 추가되어 총 23대로 파악되고 있습니다. 또 한 가지 중요한 점은 단말기 식별 번호인 IMEI 유출 가능성이 새롭게 제기되었다는 것입니다. 1차 발표에서는 IMEI 값이 유출되지 않았다고 했지만, 2차 발표에서는 아직 유출된 것이 확인되지는 않았으나 유출될 가능성이 있다고 밝혔습니다.
| 구분 | 1차 조사(5월14일) | 2차 조차(5월19일) |
| 발견된 악성 코드 종류 | 4종 | 21종 추가 발견 (총 25종) |
| 감염된 서버 수 | 5대 | 18대 추가 확인 (총 23대) |
| IMEI 유출 여부 | 유출되지 않음 | 유출 가능성이 있음 |
| 해킹 도구 | BPF DOOR | BPF DOOR, 웹쉘 |
| 최초 해킹 시점 | - | 2022년 6월 15일 |
이처럼 추가 조사가 진행되면서 새로운 정보들이 계속해서 드러나고 있으며, 6월 말까지 조사가 계속될 예정이므로 앞으로 더 많은 사실이 밝혀질 가능성도 있습니다.
2. 복제폰 제작 가능성, 얼마나 현실적인가
Q: IMEI 유출 가능성이 있다면 복제폰 제작이 가능해지는 건가요?
A: 이론적으로는 가능성이 있습니다. 복제폰은 유심 정보와 단말기 고유 식별 번호(IMEI)가 모두 필요합니다. 1차 발표에서는 유심 정보만 유출된 것으로 보았기 때문에 복제폰 가능성이 낮다고 설명드렸지만, 2차 발표에서 IMEI 유출 가능성이 제기되면서 복제폰 제작의 이론적인 여건은 마련되었다고 볼 수 있습니다.
Q: IMEI가 유출되었다고 해서 바로 복제폰을 만들 수 있나요?
A: IMEI 유출만으로 복제폰을 쉽게 만들기는 어렵습니다. 복제폰을 만들려면 유출된 IMEI 값을 실제 휴대폰 단말기에 입력해야 하는데, 이를 위해서는 단말기 제조업체가 사용하는 특정 프로그램과 프로그램 제조사의 비밀번호 값이 있어야 합니다. 이 비밀번호는 단말기 제조사만 알고 있기 때문에 IMEI가 유출되었다고 하더라도 복제폰 제작이 바로 가능한 것은 아닙니다.
- 특정 프로그램 필요: IMEI 값을 휴대폰 단말기에 집어넣으려면 단말기 제조업체들이 쓰는 전용 소프트웨어가 필요
- 비밀번호: 그 특정 소프트웨어에 더해 단말기 제조사만 아는 특정 키값, 비밀번호를 알아야 IMEI 값을 기록할 수 있습니다.
Q: 만약 복제폰이 만들어져 사용된다면 알 수 있는 방법이 있나요? ( =>만약, 복제폰이 만들어졌을때의 증상)
A: 복제폰이 사용되면 원래 휴대폰에서 전화 통화나 문자 메시지 수신이 안 되는 등 이상 증상이 반드시 나타납니다. 오리지널 폰과 복제폰 중 망에 연결될 수 있는 것은 하나뿐이기 때문입니다. 해커가 복제폰을 망에 연결하려면 원래 휴대폰을 꺼야 하므로, 갑자기 휴대폰이 먹통이 되거나 통화, 문자가 안 되는 증상이 있다면 복제폰을 의심해 볼 수 있습니다. 또한 SKT는 현재 이상 탐지 시스템 FDS 2.0을 가동하고 있습니다. 이 시스템은 단순 유심 정보 외에 유심에 들어있는 여러 기타 고유 정보까지 활용하여 복제 유심을 식별하고 있다고 합니다.
3. 진짜 목적은 개인 정보가 아닐 수도 있다
해커들이 이동통신사를 오랫동안 해킹한 진짜 목적이 개인 금융 정보 탈취가 아닐 수도 있다는 분석이 있습니다. 외국 전문가들은 이동통신사가 갖고 있는 정보가 금융기관 정보보다 돈이 되는 정보는 아니라고 봅니다. 그렇다면 왜 해커들이 이동통신사를 공격하고 오랜 기간 숨어있으면서 정보를 빼내려고 했을까요?
여기서 주목해야 할 정보가 바로 CDR(Call Detail Record), 즉 통화 기록 정보입니다. 통화 기록은 "내가 언제 어디서 누구와 통화했는지"와 같은 매우 민감한 정보를 포함하고 있습니다. 경찰이 통신사실 확인 조회를 통해 얻는 정보도 바로 이 CDR 정보입니다.
CDR 정보가 유출될 경우 고위 공직자나 정치인과 같은 특정 인물들이 큰 영향을 받을 수 있습니다. 통화 기록을 분석하면 이들의 동선, 친분 관계, 특정 시기의 통화 내용 등을 파악할 수 있기 때문입니다. 외국에서는 이동통신사 해킹 시 개인 정보보다는 CDR 정보 유출 여부를 우선적으로 조사하는 경우가 많습니다.
이번 SKT 해킹 사건의 경우, 악성 코드가 최소 3년 전부터 심어져 있었고 오랜 기간 기다린 정황이 있습니다. 금전 탈취를 노리는 해커들은 보통 이렇게 오랫동안 숨어있지 않고 정보를 빨리 돈으로 바꿔 도망가는 경향이 있습니다. 이러한 점을 볼 때, 이번 해킹의 진짜 노림수가 개인의 금전 탈취보다는 고위 공직자나 정치인의 통화 기록 유출이었을 가능성도 배제할 수 없습니다. 현재 합동 조사단은 CDR 데이터 유출 여부에 대한 조사가 아직 완료되지 않았다고 밝혔습니다. 앞으로의 조사 결과에 따라 이번 해킹의 진짜 목적이 무엇이었는지 더 명확해질 것으로 보입니다.
4. 3년 동안 몰랐던 해킹, sk통신사의 보안 불감증 문제
이번 사건에서 많은 분들이 분노하고 우려하는 지점 중 하나는 해킹이 최소 3년 전부터 시작되었음에도 불구하고 통신사가 이를 오랫동안 인지하지 못했다는 사실입니다. 합동 조사단은 일주일 만에 악성 코드를 발견했지만, 통신사는 왜 3년 동안 몰랐을까
한 가지 이유는 로그 기록이 충분히 보관되지 않았기 때문입니다. 컴퓨터에서 어떤 작업이 이루어지면 로그 기록이 남는데, 이 기록을 장기간 보관해야 해킹 흔적을 면밀히 조사할 수 있습니다. 그러나 이번 사건의 경우, 악성 코드가 발견된 임시 서버의 방화벽 로그 기록이 4개월치 정도밖에 남아 있지 않았습니다. 로그 기록이 없으면 해킹 여부나 정보 유출 여부를 확인하기 어렵습니다.
또 다른 문제는 서버 백신 프로그램 미운영입니다. SKT는 서버 백신 프로그램을 운영할 경우 프로그램 충돌로 인해 서버가 중단될 수 있다는 이유로 안정성을 위해 서버에 백신 프로그램을 돌리지 않았다고 밝혔습니다. 대신 네트워크 단에서의 보안을 강화하여 통제하려고 했다고 합니다.
이러한 점들을 볼 때 통신사의 보안 관리 소홀, 즉 보안 불감증 문제가 있었다는 지적을 피하기 어렵습니다. 물론 해킹을 100% 막을 수는 없지만, 어떤 서버가 있고 어떤 정보가 있는지 파악하고 사고 발생 시 어떻게 대응할지에 대한 매뉴얼을 미리 준비하는 등 기본적인 보안 관리는 철저히 했어야 한다는 아쉬움이 남습니다.
5. 재발 방지를 위한 제도적 개선 필요
이번 SKT 개인정보 유출 사건은 이동통신사의 보안 규제를 강화하고 제도적인 개선을 마련해야 할 필요성을 다시 한번 보여줍니다. 현재 우리나라에는 이동통신사의 보안만을 직접적으로 규율하는 법이 부재한 상황입니다. 영국은 이러한 문제에 대한 해법을 제시하고 있습니다. 영국은 2021년에 통신 보안법(Telecommunications Security Act)을 제정하고 2022년에는 이동통신사가 지켜야 할 상세한 보안 지침을 마련했습니다. 이 법은 유심 정보 관리부터 공급망 보안까지 포괄적인 내용을 담고 있으며, 규정을 위반하여 사고가 발생할 경우 전체 매출의 최대 10%까지 징벌적 과징금을 부과하도록 하고 있습니다. 이러한 강력한 제도는 통신사의 보안 담당 임원에게 힘을 실어주고 보안 투자를 강화하는 동기가 됩니다.
| 제도 | 주요내용 | 특징 |
| 영국 통신 보안법 | 이동통신사 보안 규제 강화, 징벌적 과징금 도입 | 통신 안보를 국가 인프라 관점에서 관리, 상세 지침 마련 |
| ISMS 인증 | 정보 보호 관리 체계 인증 | 최소한의 보안 관리 기준, 사고 발생 시 정상 참작 여지 제공 |
현재 우리나라의 ISMS 인증은 많은 기업들이 받는 기본적인 보안 인증으로, 최소한의 기준을 명기해 놓은 것입니다. ISMS 인증을 받았다고 해서 해킹을 막을 수 있다는 의미는 아니며, 기본적인 보안 노력을 했다는 척도일 뿐입니다. 영국 역시 ISMS 인증 제도가 있지만, 통신사에는 이러한 인증만으로는 부족하다고 보고 별도의 통신 보안법을 만든 것입니다. 이번 사건을 계기로 국회 차원에서 이동통신사의 보안 규제를 강화하고 징벌적 과징금 제도 등을 도입하는 제도 개선이 조속히 이루어져야 할 필요가 있습니다.
6. 우리가 할수 있는 대응
이번 사건으로 인해 불안감을 느끼시는 개인 이용자분들이 현재 상황에서 할 수 있는 일은 무엇일까요?
Q: 개인 이용자가 현재 상황에서 취할 수 있는 조치는 무엇인가요?
A: 가장 기본적인 조치는 유심 보호 서비스 가입 여부를 확인하는 것입니다. 많은 분들이 자동으로 가입되어 있지만, 혹시 모르니 확인해 보시는 것이 좋습니다. 또한, 만약 내 휴대폰에서 갑자기 문자 수신이 안 되거나 통화가 안 되는 등 복제폰 의심 증상이 나타난다면 즉시 통신사에 신고하고 조치를 취해야 합니다.
Q: 불안해서 유심을 교체하고 싶다면 어떻게 해야 하나요?
A: 유심을 교체하는 방법은 몇 가지가 있습니다. 첫 번째는 eSIM(이심)을 이용하는 것입니다. 최신 휴대폰은 대부분 eSIM을 지원하며, 통신사 홈페이지나 대리점을 통해 eSIM 개통 방법을 안내받을 수 있습니다. eSIM은 소프트웨어 형태로 유심 정보를 기록하기 때문에 물리적인 유심칩 재고 부족 문제없이 쉽게 정보를 업데이트할 수 있습니다. 또한 eSIM을 활용하면 하나의 휴대폰에 두 개의 번호를 부여받는 등 여러 장점이 있습니다.
두 번째 방법은 기존 유심을 재활용하여 정보를 덮어쓰는 것입니다. 대리점에 방문하여 기존 유심에 가입자 식별 번호와 인증 키 값을 다시 기록해 달라고 요청하면 됩니다. 세 번째 방법은 새로운 유심칩을 신청하고 기다리는 것입니다. 현재 유심칩 재고 부족으로 인해 대기 시간이 발생할 수 있지만, 신청해 놓고 기다리면 새로운 유심으로 교체할 수 있습니다.
Q: 앞으로 어떤 점을 더 지켜봐야 할까요?
A: 앞으로 가장 중요한 것은 정부의 추가 조사 발표입니다. 6월 말까지 조사가 진행될 예정이며, 감염 서버나 유출된 정보가 더 늘어날 가능성이 있습니다. 특히 CDR 정보 유출 여부가 확인되는지가 중요합니다. CDR 정보가 유출되었다면 이번 해킹의 목적과 배후 세력에 대한 추론이 더 명확해질 것입니다.
7. 정리하면
SKT가 정보보호관리체계(ISMS) 인증을 받았음에도 불구하고 해킹 사고가 발생했다는 점에 대해 일각에서는 정부의 관리 감독 부실을 지적하기도 합니다. 하지만 ISMS 인증은 기업이 기본적인 보안 노력을 하고 있음을 나타내는 최소한의 기준일 뿐. 해킹을 절대 막을 수 있다는 의미는 아닙니다. 영국 역시 ISMS 인증만으로는 부족하다는 판단하에 통신 보호법과 같은 별도의 강력한 규제를 만든 것이죠. 따라서 이번 사건을 계기로 우리 국회에서도 이동통신사의 보안 규제를 강화하고, 징벌적 과징금과 같은 제도를 마련하는 것을 여야가 힘을 합쳐 조속히 추진해야 한다고 강조했습니다. 제도가 뒷받침되어야 통신사들이 보안에 더욱 투자하고 사고 예방 및 대응 체계를 강화할 수 있기 때문입니다. 앞으로 정부의 철저한 조사와 통신사의 책임 있는 대응, 그리고 제도적인 개선이 함께 이루어져야 안전한 통신 환경을 만들 수 있을 것입니다.
'IT 관련 > 보안공지' 카테고리의 다른 글
| 민생회복 소비쿠폰 지급 사칭 스미싱, 피싱 대응법 (10) | 2025.07.10 |
|---|---|
| BPFDoor 악성코드 점검 가이드 (4) | 2025.05.18 |
| SKT 해킹 이슈를 악용한 피싱 주의 권고 (12) | 2025.05.12 |
