[SKT 해킹사고 한달①] 피해 신고 없는데 '역대급 사고' 지적…왜?

[서울=뉴시스] 심지혜 기자 = SK텔레콤이 가입자 유심(USIM) 해킹 사고를 발표한 지 한 달이 흘렀다. 하지만 가입자 유심교체 등 사고 수습은 여전히 더디기만 하다. 공격자에 대한 수사도 진행 중이지만 누가 왜 어떤 목적으로 해킹을 하고 정보를 유출했는 지 여전히 오리무중이다.

이런 와중에 사이버 침해 및 정보 유출 규모가 예상보다 더 크다는 정부 민관합동조사단의 추가 조사 결과까지 발표되자 가입자들은 다시 불안에 떨고 있다.  이런 추세를 반영하듯 지난 한달간 40만명 규모의 가입자가 KT, LG유플러스로 이통사를 옮겼다. 이는 지난 1년 반에 걸쳐 순감한 규모와 맞먹는 수준이다.

◆사고 발생 한 달 여전히 '수습 중'…유심 교체율 절반도 못미쳐

SK텔레콤 내부 전산망에 비정상적인 패턴이 감지된 건 지난달 18일이다. 다음날 대량의 가입자 유심정보가 외부로 유출된 정황이 확인했다.

스스로 믿기지 않는 일이 당황했기 때문일까. 정부 신고는 하루 늦은 20일, 이용자 고지는 더 늦은 22일 진행하면서 '늦장 신고·고지' 논란을 자초했다. 이용자 문자 고지도 제 때 이루어지지 않으면서 "뉴스를 접하고 정보유출 사고를 알았다"며 이용자들의 혹독한 비판을 받아야 했다.

그러다 부산 SK텔레콤 가입자의 계좌에서 무단이체 사고가 보도(추후 이번 정보유출 사고와는 무관한 별개 사고건으로 확인됐음)되고, 삼성전자를 비롯한 주요 대기업과 국가정보원이 보안을 이유로 유심 교체를 권고하자 파장은 일파만파 확대됐다.

"빠져나간 유심 정보로 복제폰을 만들 수 있다" "금융계좌에서 돈을 다 빼낼 수 있다"는 불명확한 루머들이 나돌면서 유심을 교체하려는 인파들로 시중 SK텔레콤 대리점과 공항 SKT라운지는 북새통을 이뤘다.

유심 재고물량이 충분히 준비가 안된 상황에서 SK텔레콤이 서둘러 무상 교체 계획을 발표한 것이 혼란을 더욱 부추겼다는 지적도 있다. '유심 대란'이 장기화되면서 이달 23일 기준 유심을 교체한 SK텔레콤 가입자는 354만명. 539만명 가량의 가입자들은 여전히 대기 중이다.

유영상 SK텔레콤 사장에 이어 그룹 총수인 최태원 SK회장까지 머리를 숙이며 사과했다. 하지만 궁극적으로 전체 이용자들의 유심 교체가 마무리 돼야 사고 수습이 마무리될 것으로 보인다. 적어도 다음달까진 수습이 쉽지 않을 전망이다.

SK텔레콤은 현재 과기정통부 행정지도에 따라 신규 가입자를 받지 않고 있고 사태 수습에 총력전을 펼치고 있다. 당장 유심 재고물량이 없는 상황에서 유심보호 서비스를 전 가입자로 확대했으며, FDS(비정상인증차단시스템) 고도화했다. 혹시 모를 심 스와핑(복제폰 공격)에 대비하기 위해서다. 

◆ “2차 피해 없다”지만…‘역대급’ 지적 나오는 이유는?

정부 민관합동조사단 확인결과, 유출 정보량은 상당했다. 9.82GB(기가바이트) 용량으로 사실상 전 가입자의 유심정보가 빠져나갔다. 가입자 전화번호와 가입자식별번호(ISMI), 그리고 유심 관련 정보들 포함해 21종 등이다. IMSI 기준 2695만7749건 규모다. 이는 SK텔레콤 망을 사용하는 알뜰폰을 포함, SK텔레콤 전체 가입자수보다 많은 수치다. 성명, 주민번호, 주소 등 가입자 신상 정보는 유출되진 않은 것으로 파악하고 있다,

시스템 침해 수준도 심각했다. SK텔레콤이 운영하는 전체 3만여 리눅스 서버 가운데 총 23대에서 25종에 달한 악성코드가 깔려 있었다. 대부분 정보유출과 관련된 프로그램들이다. 심지어 지금으로부터 3년 전인 2022년 6월15일 설치된 악성코드도 추가로 발견됐다.

이 코드가 발견된 서버는 단말기식별번호(IMEI) 정보와 성명, 주소 같은 개인정보를 임시 저장한 서버로, IMEI 정보는 복제폰 제작에 필요한 핵심정보로 민관합동조사단 1차 결과 발표 당시 외부 유출이 없었다고 확인됐던 항목이다.

당시 과기정통부는 "IMEI 정보는 유출되지 않아 SK텔레콤 유심보호 서비스에 가입하는 것 만으로 안전하다"고 강조하기도 했다. 외부 로그(접속 흔적)기록이 남아있는 지난해 12월까지 외부 유출되진 않았다고 했지만 그 이전에 일부 정보가 나갔을 가능성을 배제할 수 없게 됐다.

다행스러운 건 악성코드 최초 설치 시점부터 지금까지 이번 해킹사고로 인한 2차 피해 사례가 없다는 점이다.

그렇다면 사실상 2차 피해가 전무한 이번 사고를 두고 왜 전문가들은 '최악의 역대급 해킹사고'라고 할까.

공격자는 SK텔레콤 핵심 서버에 침투한 뒤 오랫동안 숨어있다 정보 유출을 시도했다. 특히 해커는 가입자의 유심정보까지 노렸다. 유심 정보는 심 스와핑 범죄를 위한 핵심 정보다. 해커가 가입자 유심을 복제한 뒤, 이를 다른 기기에 꽂아 복제폰을 만들 수 있다. 이 경우 가입자 휴대폰처럼 통화와 문자를 주고받을 수 있고, 각종 인증을 가로챌 수 있다.

그 이전 사례들과 양상이 달랐다는 얘기다. 삼성전자, KT, LG유플러스 등 이전 대기업 침해사고 당시 해커들은 주로 가입자 신상정보나 회사 기밀정보를 노렸다. 빼낸 정보로 기업을 협박하거나 스미싱·스팸 등 사이버 범죄자들에게 돈을 주고 팔기 위해서다.

스팸문자, 스미싱 등 2차 피해는 불가피했지만, 유심정보는 자칫 폰 복제로 이어져 이용자들에게 직접적인 피해를 유발할 수 있다.

물론 전문가들은 탈취한 가입자 유심정보만으로는 심 스와핑이 현실화될 가능성을 낮게 본다. SK텔레콤이 비정상인증시도 차단(FDS)으로 불법 유심 복제는 물론 복제폰 활성화를 실시간 탐지하고 있고, 무엇보다 단순히 유심 번호와 일부 가입자 정보 조합 만으로는 복제폰이 가능하지 않다는 이유다. 특히 정부와 SK텔레콤은 최악의 경우 IMEI가 유출됐다 해도 제조사가 인증키 값을 관리하고 있어 복제폰이 작동하지 않는다고 강조한다.

그럼에도 우려하는 건 지난 3년간 해커의 악성코드가 SK텔레콤 핵심 시스템에 잠복하면서 전방위적인 정보 유출을 시도했을 가능성 때문이다.

고학수 개인정보보호위원장은 지난 21일 정례 브리핑에서 "일반적인 상식으로 보더라도 민감한 정보를 담고 있는 서버가 악성코드에 감염됐다는 것 자체만으로도 매우 불안한 상황이 이어지고 있다"며 강경 대응을 예고했다.


◎공감언론 뉴시스 [email protected]