[SKT 해킹②]'날고 긴다'는' SKT마저…5단계 보안벽 뚫은 해커

[서울=뉴시스]송혜리 기자 =

SK텔레콤 가입자들의 유심정보가 대거 유출돼 이용자들의 불안감이 고조되고 매장 현장 혼선이 이어지고 있는 가운데 수사 당국이 침해사고 경위 파악과 해커 추적에 본격적으로 나섰다.

보안 전문가들은 이번 SK텔레콤 사고가 단발성·일회성 해킹보다는 장기간에 걸쳐 은밀하고 치밀하게 준비한 APT(advanced persistent threat; 지능형지속공격)에 당한 것으로 보고 있다.

APT란 특정 기관·기업을 타깃으로 오랜 시간에 걸쳐 은밀하고 치멸하게 공격하는 사이버 공격을 말한다. 통상적으로 잘 알려지지 않은 보안 취약점(제로데이) 코드, 내부직원을 속이거나 포섭하는 사회공학적 기법 등을 통해 보안 시스템과 체계를 교란한다.

보안 전문가들은 사이버 공격의 타깃이 SK텔레콤만이 아닐 것이라고 경고한다. 한해 수백억원을 보안 투자에 쏟아 붓는 대기업조차 어이없이 뚫릴 정도로 지능화되고 정교해진 공격에 효율적으로 대응하기 위해선 근본적인 국가 보안 관리체계에 대한 재정비가 시급하다고 입을 모은다.

◆은밀하고 끈질긴 APT 공격…"해커 수 개월, 길게는 1년 이상 내부 잠복했을 수도"

과학기술정보통신부 민관합동조사단 조사결과, SK텔레콤 가입자 유심정보를 빼간 해커는 메인 서버인 HSS(가입자관리서버) 등을 털어 가입자 전화번호, 가입자식별키(IMSI) 등 유심 관련 정보 25종을 탈취한 것으로 확인됐다.

SK텔레콤 메인 서버에 접근하려면 약 5단계의 방어벽을 뚫어야 하는데, 해커는 이를 단계적으로 우회해 최종적으로 HSS 등 3대의 서버에 접근했다.

해커가 침투한 과정은 정교하고 은밀했다. 조사단에 따르면, 해커는 SK텔레콤 내부로 침투하는데 BPF도어(Berkeley Packet Filter Door) 계열 악성코드 4종을 사용했다. 리눅스 운영체제의 BPF 기능을 악용한 정교한 백도어다.

BPF는 원래 네트워크를 감시하거나 걸러내는 데 쓰이는 기술이지만, 해커는 이를 방화벽 우회 통신의 경로로 변조해 은밀하게 명령을 주고받는 방식으로 사용했다.

통상 외부와 데이터를 주고받으려면 '문' 역할을 하는 포트를 열어야 하는데, 이 방식은 포트를 열지 않고도 명령을 수신·실행할 수 있었던 것으로 확인됐다. SK텔레콤 서버에 보유한 정보를 빼내기 위해 은밀한 침투경로를 사전에 확보해 놓고 있었다는 얘기다.

보안 전문가들은 단기간에 이뤄진 침해사고보다는 해커가 최소 수개월간 직원 PC에 악성코드를 설치하는 등 내부 침투를 시도하고 잠복해 있다 주요 시스템 정보를 탈취하는 APT 공격수법에 당했을 가능성에 무게를 싣고 있다.

실제 악성코드 공격이 언제부터 시작됐고, 시스템 내부에 언제 침투했는지 현재로서 밝혀진 바 없다. 해커는 시스템 침투 단계별로 '흔적 지우기'도 시도했던 것으로 알려졌다. 

곽진 아주대학교 사이버보안 교수는 "백도어 설치와 서버 침투까지 이어진 정교한 공격으로 보여진다"고 진단했다.

구동언 로그프레소 전무도 "SK텔레콤 유출사고와 같은 사이버 침해사고는 단기간에 성공하기 쉽지 않다"면서 "공격 시나리오 작성부터 실행. 침투까지 장기간에 걸쳐 티가 나지 않도록 은밀히 진행됐을 가능성이 크다"고 설명했다.

일각에선 네트워크를 통해 메인 시스템 접근 자체가 사실상 불가능하다는 점을 들어 내부 협조자를 포섭하는 소셜 공격이 병행됐을 가능성도 배제할 수 없다는 의견도 내놓고 있다.

◆대기업도 속속 뜷리는데…국가 보안체계 바꿔야

보안 전문가들은 기존 사이버 보안 체계와 제도를 확 바꿔야 한다고 입을 모은다.

SK텔레콤 내부 침투경로로 활용된 BPF도어 기반 악성코드는 포트 기반의 방화벽이나 시그니처 기반의 백신 프로그램 등 기존 보안체계로는 탐지가 불가능했다.

전덕조 씨큐비스타 대표는 "구시대적 보안시스템으로는 최신 위협에 적절히 대응할 수 없는 냉혹한 현실을 보여준 사례"라며 "최근 사이버 위협은 단순한 시그니처 탐지를 우회하는 수준을 넘어, 커널 은닉, 암호화 통신 위장, 포트리스(portless) 백도어 통신 등 점점 더 고도화되고 있다"고 강조했다.

전문가들은 실시간 통신 데이터에 기반한 행위 탐지와 로그 이상 징후 분석, 커널 수준 탐색 기능 등 운영체제의 깊은 영역까지 감시할 수 있는 다층 탐지 체계가 시급하다고 입을 모았다.

이를 통해 단순한 사후 대응 위주에서 벗어나 위협 인식→선제 탐지→피해 예방으로 이어지는 보안 패러다임으로의 전환이 필요하다고 말한다.

기업·기관의 보안 관리 체계와 정부의 규제정책도 바꿀 때가 됐다는 게 전문가들의 조언이다.

곽진 교수는 "최근처럼 대형 해킹 사고가 잇따르는 상황에서는 기존에 정해진 보안 절차나 메뉴얼만으로는 현실적인 대응이 어렵다"고 지적했다.

국내 기관과 기업의 보안 관리 체계가 대부분 법제도 의무사항과 정부 규제 정책에 대비한 체크 리스트 기반으로 돼 있어, 급변하는 사이버 위협 대응에 한계가 있다는 지적이 꾸준히 제기돼왔던 게 사실이다.

보안 메뉴얼과 정부 규제·가이드라인 규정에 맞춰 보안 품목과 기술·방식을 도입하는 수동적인 대응에 머물렀다는 것.

그러다 보니 정보보호·개인정보보호 관리체계인증(ISMS·ISMS-P) 등 정부의 국가공인 보안 인증제도의 실효성도 도마 위에 오르고 있다.

ISMS·ISMS-P 인증은 각각 과학기술정보통신부와 개인정보보호위원회가 주관하는 보안 인증으로, 시스템의 기술·관리적 취약점을 점검하는 동시에 데이터 암호화 등을 체크한다. 이들 인증을 모두 취득한 SK텔레콤이 사고를 당하다 보니 인증 무용론까지 제기되고 있다. 앞서 랜섬웨어 해커에게 서버를 뚫려 회사 기밀 데이터를 털린 삼성전자, LG전자 등도 인증 획득 기업이다.

국회 과학기술정보방송통신위원회 이훈기 의원(더불어민주당)은 이번 SK텔레콤 해킹사고와 관련 “ISMS·ISMS-P 인증제도의 전면 재점검과 관리·감독 강화가 필요하다”고 "국민이 신뢰할 수 있도록 실효성을 갖춘 정보보호 인증 체계로 거듭나야 할 것"이라고 지적했다.

보안 업계 관계자는 "보안사고가 터질 경우, 법제 혹은 정부 가이드라인을 준수했느냐 마느냐에 따라 법적 처벌 수위가 달라지다 보니 보안 관리자가 능동적으로 보안 체계를 짜기 어려운 측면이 있다"며 "기업·기관들이 자유롭게 보안체계를 갖추도록 권장 하되, 사후 처벌 규정을 강화하는 방식으로 보안 패러다임이 바꿀 필요가 있다"고 지적했다.


◎공감언론 뉴시스 [email protected]