IT > IT

[SKT 해킹사고 한달②] "누구냐 넌" 사이버 첩보전 vs '검은 돈' 노린 다크 해커

등록 2025-05-25 08:20:00 최종수정 2025-05-26 11:36:28

고도의 실력 갖춘 전문 해킹 조직 범행 추정

웹셸로 뚫고 BPF도어 은닉…전형적 APT 공격

정보 획득 노린 해킹? '검은 돈' 노린 다크 해커?

[서울=뉴시스] 박은비 기자 = SK텔레콤의 유심정보 해킹 사고가 알려진 지 한 달이 넘어가는 가운데 경찰 수사도 본격화되고 있다. SK텔레콤을 공격한 해커가 누구이고, 어떤 의도로 정보 유출을 시도했는지 귀추가 주목된다.

보안 전문가들 사이에서는 빼낸 데이터를 미끼로 기업 협박이나 이로 인한 2차 피해가 아직 없었다는 점에서 사이버 첩보 수집 등 다른 목적에서 진행된 사이버 공격 아니냐는 관측이 흘러 나오고 있다. 반면 미수에 그친 다크 범죄일 가능성도 없지 않다는 주장도 있다. 사이버 범죄 조직이 대규모 정보 유출에는 성공했지만, 아직 '돈 될 정보'로 가공하지 못했을 것이라는 추측이다.

다만, 해킹 배후세력을 함부로 특정하지 말고 다양한 가능성을 열어 둬야 한다는 게 전문가들의 한결같은 지적이다. 그래야 정확한 경위 파악도 할 수 있고, 후속 대응책과 제도적 개선대책을 제대로 내놓을 수 있다는 설명이다.

◆실력 갖춘 전문 해킹 조직 추정…전형적인 APT 공격 사례

SK텔레콤 해킹 사고 주체에 대해 여러 추측이 나오고 있는 상황이지만, 이번 해킹 사고가 고도의 실력을 갖춘 전문 해킹조직에 의해 이뤄졌다는 게 보안 전문가들의 공통된 견해다.

정부 민관합동조사단에 따르면 SK텔레콤 서버를 공격한 집단은 여러 단계의 보안망을 뚫고 내부 핵심직원들만 접근할 수 있는 23대의 서버에 악성코드 25종을 설치했다.

현재까지 발견된 악성코드는 BPF도어 계열 24종과 웹셀 1종이다. BPF도어는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링과 필터 기능을 수행하는 BPF(Berkeley Packet Filter)를 악용한 백도어로 은닉성이 높아 탐지하기 어려운 특징이 있다.

웹셸은 해커가 악의적인 목적으로 시스템에 임의 명령을 실행할 수 있게 한 코드다. 이번에도 지난 2022년 6월 15일 통합인증연동서버에 최초 침투 목적으로 사용됐다.

[서울=뉴시스] 정부 민관합동조사단은 SK텔레콤 해킹 사고 관련 총 23대의 서버 감염을 확인했다고 2자 조사 결과를 발표했다. 15대에 대한 포렌식 등 정밀분석을 완료하고 잔여 8대에 대한 분석을 진행 중이다. 현재까지는 해당 서버에서 25종의 악성코드가 발견됐다. (사진=과기정통부 제공) 2025.05.19. [email protected] *재판매 및 DB 금지

이를 두고 보안 전문가들은 전형적인 지능형 지속 위협(APT) 공격이라고 보고 있다. 표적을 미리 정해 침투한 뒤 내부 네트워크에 몰래 숨어있다가 장기간에 걸쳐 정보를 빼가는 이 방식은 상당한 자금력과 조직력이 뒷받침돼야 가능하다.

◆특정 집단 겨냥한 첩보전 vs 미수에 그친 '다크 해커'

이같은 정황을 토대로 사이버 첩보를 노린 국가 해킹 조직의 소행일 수 있다는 관측도 나온다. 사이버 정보전이 치열한 가운데 이같은 정보 획득을 노린 해킹은 우방이든 적국이든 막론하고 전방위적으로 이뤄지고 있다는 게 사이버 안보 전문가들의 전언이다. 통화·데이터·위치정보가 집약된 통신사 시스템은 전세계 주요 첩보기관들의 표적이다.

단말기식별정보나 위치정보, 문자 수·발신 정보 등 각 메타 데이터가 신상정보와 매칭된다면 언제 어느 곳에서 누구랑 통화했고, 문자매시지를 주고 받았는지 알 수 있다. 물론 기술적 매칭이 쉬운 일은 아니다. 또 주요 데이터는 암호화해서 보관되기 때문에 현실적으로 외부에서 통화기록 정보를 외부에서 파악하긴 어렵다.

[서울=뉴시스] 배훈식 기자 = 최우혁 과학기술정보통신부 정보보호네트워크정책관이 지난 19일 오전 서울 종로구 정부서울청사에서 SKT 침해 사고 관련 민관합동조사단 중간 조사 결과를 발표하고 있다. 2025.05.19. [email protected]

SK텔레콤 유심정보가 아닌 통화기록(CDR) 등 데이터가 타깃이었을 가능성도 제기된다. 김승주 고려대 정보보호대학원 교수는 "금전 목적이 아니라면 데이터 자체일텐데 무슨 데이터가 가치 있을까 본다면 CDR 밖에 없다"며 "외국에서는 (해킹 조사를) 이런 관점에서 접근하고 있다. 우리도 우선순위를 CDR에 뒀어야 하는데 아직 조사가 완료되지 않았다"고 말했다.

SK텔레콤은 CDR이 암호화돼 있어 유출 우려가 없다는 입장이다. 김 교수는 "통화기록 정보가 암호화돼 있어도 키가 안전하게 관리되지 않으면 아무 소용이 없다"며 "지난해 미국 통신사 9곳도 솔트 타이푼이라는 해커조직에 털렸는데 이들 통신사라고 해서 암호화 조치를 하지 않았겠냐"고 지적했다.

다른 한편에서는 무려 9.82GB에 달하는 대규모 데이터 유출을 시도했다는 점에서 '검은 돈'을 노린 다크해커 조직의 소행일 가능성에 무게를 두고 있다.

해커는 SK텔레콤 전 가입자(알뜰폰 포함)의 유심정보를 노렸다. 사이버 첩보 수집 등의 목적이었다면, 무리하게 대규모 데이터 유출을 시도하지 않았을 것이라는 진단이다. 정보 수집 목적이라면 장기적으로 내부 네트워크에 잠복해 있다가 특정 정보만 빼가며 보안시스템을 우회하는 게 유리하다.

한 보안 전문가는 "심 스와핑 범죄를 노리고 정보 유출을 시도했지만 추가 인증이나 암호화 데이터 복구 실패 등의 이유로 실제 범행으로 이어지지 않았을 가능성도 있다"며 "이제껏 피해 신고가 없었다고 봐야 한다"고 평가했다.

염흥열 순천향대 명예 교수는 "공격 목표나 목적, 주체가 명확하게 알려지지 않은 상태에서 결론을 미리 추정하면 오히려 진실을 놓칠 수 있다"며 "모든 가능성을 열어놓고 조사해야 한다고 본다"고 강조했다.

◎공감언론 뉴시스 [email protected]

맨위로

이메일 보내기

이메일 보내기
* 받는 사람
메세지

이메일 보내기
* 보내는 사람
보내는 내용	[SKT 해킹사고 한달②] "누구냐 넌" 사이버 첩보전 vs '검은 돈' 노린 다크 해커 [서울=뉴시스] 박은비 기자 = SK텔레콤의 유심정보 해킹 사고가 알려진 지 한 달이 넘어가는 가운데 경찰 수사도 본격화되고 있다. SK텔레콤을 공격한 해커가 누구이고, 어떤 의도로 정보 유출을 시도했는지 귀추가 주목된다. 보안 전문가들 사이에서는 빼낸 데이터를 미끼로 기업 협박이나 이로 인한 2차 피해가 아직 없었다는 점에서 사이버 첩보 수집 등 다른 목적에서 진행된 사이버 공격 아니냐는 관측이 흘러 나오고 있다. 반면 미수에 그친 다크 범죄일 가능성도 없지 않다는 주장도 있다. 사이버 범죄 조직이 대규모 정보 유출에는 성공했지만, 아직 '돈 될 정보'로 가공하지 못했을 것이라는 추측이다. 다만, 해킹 배후세력을 함부로 특정하지 말고 다양한 가능성을 열어 둬야 한다는 게 전문가들의 한결같은 지적이다. 그래야 정확한 경위 파악도 할 수 있고, 후속 대응책과 제도적 개선대책을 제대로 내놓을 수 있다는 설명이다. ◆실력 갖춘 전문 해킹 조직 추정…전형적인 APT 공격 사례 SK텔레콤 해킹 사고 주체에 대해 여러 추측이 나오고 있는 상황이지만, 이번 해킹 사고가 고도의 실력을 갖춘 전문 해킹조직에 의해 이뤄졌다는 게 보안 전문가들의 공통된 견해다. 정부 민관합동조사단에 따르면 SK텔레콤 서버를 공격한 집단은 여러 단계의 보안망을 뚫고 내부 핵심직원들만 접근할 수 있는 23대의 서버에 악성코드 25종을 설치했다. 현재까지 발견된 악성코드는 BPF도어 계열 24종과 웹셀 1종이다. BPF도어는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링과 필터 기능을 수행하는 BPF(Berkeley Packet Filter)를 악용한 백도어로 은닉성이 높아 탐지하기 어려운 특징이 있다. 웹셸은 해커가 악의적인 목적으로 시스템에 임의 명령을 실행할 수 있게 한 코드다. 이번에도 지난 2022년 6월 15일 통합인증연동서버에 최초 침투 목적으로 사용됐다. 이를 두고 보안 전문가들은 전형적인 지능형 지속 위협(APT) 공격이라고 보고 있다. 표적을 미리 정해 침투한 뒤 내부 네트워크에 몰래 숨어있다가 장기간에 걸쳐 정보를 빼가는 이 방식은 상당한 자금력과 조직력이 뒷받침돼야 가능하다. ◆특정 집단 겨냥한 첩보전 vs 미수에 그친 '다크 해커' 이같은 정황을 토대로 사이버 첩보를 노린 국가 해킹 조직의 소행일 수 있다는 관측도 나온다. 사이버 정보전이 치열한 가운데 이같은 정보 획득을 노린 해킹은 우방이든 적국이든 막론하고 전방위적으로 이뤄지고 있다는 게 사이버 안보 전문가들의 전언이다. 통화·데이터·위치정보가 집약된 통신사 시스템은 전세계 주요 첩보기관들의 표적이다. 단말기식별정보나 위치정보, 문자 수·발신 정보 등 각 메타 데이터가 신상정보와 매칭된다면 언제 어느 곳에서 누구랑 통화했고, 문자매시지를 주고 받았는지 알 수 있다. 물론 기술적 매칭이 쉬운 일은 아니다. 또 주요 데이터는 암호화해서 보관되기 때문에 현실적으로 외부에서 통화기록 정보를 외부에서 파악하긴 어렵다. SK텔레콤 유심정보가 아닌 통화기록(CDR) 등 데이터가 타깃이었을 가능성도 제기된다. 김승주 고려대 정보보호대학원 교수는 "금전 목적이 아니라면 데이터 자체일텐데 무슨 데이터가 가치 있을까 본다면 CDR 밖에 없다"며 "외국에서는 (해킹 조사를) 이런 관점에서 접근하고 있다. 우리도 우선순위를 CDR에 뒀어야 하는데 아직 조사가 완료되지 않았다"고 말했다. SK텔레콤은 CDR이 암호화돼 있어 유출 우려가 없다는 입장이다. 김 교수는 "통화기록 정보가 암호화돼 있어도 키가 안전하게 관리되지 않으면 아무 소용이 없다"며 "지난해 미국 통신사 9곳도 솔트 타이푼이라는 해커조직에 털렸는데 이들 통신사라고 해서 암호화 조치를 하지 않았겠냐"고 지적했다. 다른 한편에서는 무려 9.82GB에 달하는 대규모 데이터 유출을 시도했다는 점에서 '검은 돈'을 노린 다크해커 조직의 소행일 가능성에 무게를 두고 있다. 해커는 SK텔레콤 전 가입자(알뜰폰 포함)의 유심정보를 노렸다. 사이버 첩보 수집 등의 목적이었다면, 무리하게 대규모 데이터 유출을 시도하지 않았을 것이라는 진단이다. 정보 수집 목적이라면 장기적으로 내부 네트워크에 잠복해 있다가 특정 정보만 빼가며 보안시스템을 우회하는 게 유리하다. 한 보안 전문가는 "심 스와핑 범죄를 노리고 정보 유출을 시도했지만 추가 인증이나 암호화 데이터 복구 실패 등의 이유로 실제 범행으로 이어지지 않았을 가능성도 있다"며 "이제껏 피해 신고가 없었다고 봐야 한다"고 평가했다. 염흥열 순천향대 명예 교수는 "공격 목표나 목적, 주체가 명확하게 알려지지 않은 상태에서 결론을 미리 추정하면 오히려 진실을 놓칠 수 있다"며 "모든 가능성을 열어놓고 조사해야 한다고 본다"고 강조했다. ◎공감언론 뉴시스 [email protected] https://weekly.newsis.com