이동통신 가입자 1336만 명인 KT의 중앙 서버가 뚫린 정황이 확인되면서 ‘디지털 강국’ 한국의 취약성이 드러나고 있다는 지적이 나온다. 글로벌 해커 범죄 집단의 집중 표적으로 부상했을 가능성이 크다는 것이다. 통신 3사 중 두 곳의 서버에 ‘도둑’이 오랫동안 잠복해 있었고, 신용카드사·온라인 서점 등 영역을 가리지 않고 전방위로 피해 사례가 등장하고 있어서다.
불법 기지국을 활용한 무단 소액결제 사건이 중앙 서버 해킹 가능성으로 번지면서 통신업계뿐만 아니라 정부의 보안 정책에도 구멍이 뚫린 것 아니냐는 비판이 일고 있다. SK텔레콤 유심 유출 사고가 발생한 직후인 지난 4월부터 정부는 민관합동조사단을 꾸리고 이동통신 3사의 서버 침해 여부를 확인하기 위한 전수조사를 했다. 그리고 6월 과학기술정보통신부는 “KT와 LG유플러스의 서버가 침해된 사실이 없다”며 “다른 이동통신사는 안전하다”고 강조했다.
불과 3개월 만에 KT 서버 해킹 정황이 밝혀지자 19일 류제명 과기정통부 2차관은 “물리적인 시간 부족으로 SK텔레콤과 비슷한 사례인 홈가입자서버(HSS) 악성코드 감염 여부만 조사했다”고 인정했다. 정부가 내세운 ‘서버 전수조사’는 거짓이었다는 얘기다.
KT도 책임을 면하기 어려울 전망이다. KT는 7월 15일 황태선 정보보호최고책임자(CISO)가 고객 안전·안심 기자간담회를 열어 “보안은 기술 문제가 아니라 기업 신뢰의 핵심 가치”라며 “업계 최고 수준인 정보보호 체계를 국내를 넘어 글로벌 톱 수준으로 끌어올리겠다”고 밝혔었다.
통신 3사 중 연간 정보보호 투자액이 가장 많고, 팰런티어 등 글로벌 빅테크와 보안과 관련한 공동 전선을 펴고 있다는 자신감에서 나온 발언이다. KT의 지난해 정보보호 투자액은 1250억원으로 업계 1위다. 내년엔 2000억원을 투자할 계획이었다.
보안업계에선 KT가 이날 KISA에 제출한 신고 내용을 근거로 윈도 서버 보안이 취약한 틈을 타 해킹이 시도된 것이란 추정이 나오고 있다. 신고서엔 △윈도 서버 침투 후 측면 이동 시도 △스모민루 봇넷 감염 △비주얼베이직스크립트(VBScript) 기반 원격코드 실행 및 민감정보 탈취 △메타스플로이트(Metasploit)를 통한 SMB 인증 시도 및 측면 이동 성공 등이 적시돼 있다. 쉽게 말해 보수가 안 된 낡은 창문 틈으로 들어와서 이방 저방 기웃거리며 원격으로 정보 등을 탈취할 수 있는 범행 도구를 설치했다는 얘기다.
스모민루 봇넷은 주로 암호화폐 채굴과 정보 탈취를 목적으로 활동하는 랜섬웨어다. 한 번 감염된 시스템에 ‘백도어’를 만들어 지속적인 접근을 유지하는 것이 특징이다. 보안업계 관계자는 “SK텔레콤 해킹 사고는 매우 은밀하고, 치명적인 수법을 사용한 전문가 수법인 데 비해 KT 건은 보통 수준의 해커 소행으로 추정되며 탐지가 어렵지 않은데도 초기에 발견을 못한 것은 이해하기 어렵다”고 지적했다.
더욱 우려되는 점은 아직 KT가 해킹 피해를 본 서버 수와 유출된 정보의 양과 내용 등 세부적인 사실을 파악하지 못하고 있다는 것이다.
최근 불법 기지국을 활용한 무단 소액결제 사태도 중앙서버 해킹과 연관이 있을 가능성이 있다는 게 보안업계의 의견이다. 경찰은 소액결제에 사용된 가입자 생년월일 등을 외부에서 입수했을 것으로 추정하고 있지만, 이미 중앙서버에서 정보 유출이 확인된 이상 안심할 수 없다는 지적도 나온다.
최지희/강경주 기자 mymasaki@hankyung.com
◇통신 3사 서버 전수조사했다더니…
불법 기지국을 활용한 무단 소액결제 사건이 중앙 서버 해킹 가능성으로 번지면서 통신업계뿐만 아니라 정부의 보안 정책에도 구멍이 뚫린 것 아니냐는 비판이 일고 있다. SK텔레콤 유심 유출 사고가 발생한 직후인 지난 4월부터 정부는 민관합동조사단을 꾸리고 이동통신 3사의 서버 침해 여부를 확인하기 위한 전수조사를 했다. 그리고 6월 과학기술정보통신부는 “KT와 LG유플러스의 서버가 침해된 사실이 없다”며 “다른 이동통신사는 안전하다”고 강조했다.
불과 3개월 만에 KT 서버 해킹 정황이 밝혀지자 19일 류제명 과기정통부 2차관은 “물리적인 시간 부족으로 SK텔레콤과 비슷한 사례인 홈가입자서버(HSS) 악성코드 감염 여부만 조사했다”고 인정했다. 정부가 내세운 ‘서버 전수조사’는 거짓이었다는 얘기다.
KT도 책임을 면하기 어려울 전망이다. KT는 7월 15일 황태선 정보보호최고책임자(CISO)가 고객 안전·안심 기자간담회를 열어 “보안은 기술 문제가 아니라 기업 신뢰의 핵심 가치”라며 “업계 최고 수준인 정보보호 체계를 국내를 넘어 글로벌 톱 수준으로 끌어올리겠다”고 밝혔었다.
통신 3사 중 연간 정보보호 투자액이 가장 많고, 팰런티어 등 글로벌 빅테크와 보안과 관련한 공동 전선을 펴고 있다는 자신감에서 나온 발언이다. KT의 지난해 정보보호 투자액은 1250억원으로 업계 1위다. 내년엔 2000억원을 투자할 계획이었다.
◇무단 소액결제 연관성에 주목
이날까지 KT를 비롯해 과기정통부, 한국인터넷진흥원(KISA) 모두 피해 전모를 놓고 “조사를 더 해봐야 한다”는 입장이다. KT 측은 “정부 조사에 적극 협조해 조속한 시일 내에 침해 서버를 확정할 것”이라며 “구체적 침해 내용과 원인이 규명될 수 있도록 최선을 다하겠다”고 했다.보안업계에선 KT가 이날 KISA에 제출한 신고 내용을 근거로 윈도 서버 보안이 취약한 틈을 타 해킹이 시도된 것이란 추정이 나오고 있다. 신고서엔 △윈도 서버 침투 후 측면 이동 시도 △스모민루 봇넷 감염 △비주얼베이직스크립트(VBScript) 기반 원격코드 실행 및 민감정보 탈취 △메타스플로이트(Metasploit)를 통한 SMB 인증 시도 및 측면 이동 성공 등이 적시돼 있다. 쉽게 말해 보수가 안 된 낡은 창문 틈으로 들어와서 이방 저방 기웃거리며 원격으로 정보 등을 탈취할 수 있는 범행 도구를 설치했다는 얘기다.
스모민루 봇넷은 주로 암호화폐 채굴과 정보 탈취를 목적으로 활동하는 랜섬웨어다. 한 번 감염된 시스템에 ‘백도어’를 만들어 지속적인 접근을 유지하는 것이 특징이다. 보안업계 관계자는 “SK텔레콤 해킹 사고는 매우 은밀하고, 치명적인 수법을 사용한 전문가 수법인 데 비해 KT 건은 보통 수준의 해커 소행으로 추정되며 탐지가 어렵지 않은데도 초기에 발견을 못한 것은 이해하기 어렵다”고 지적했다.
더욱 우려되는 점은 아직 KT가 해킹 피해를 본 서버 수와 유출된 정보의 양과 내용 등 세부적인 사실을 파악하지 못하고 있다는 것이다.
최근 불법 기지국을 활용한 무단 소액결제 사태도 중앙서버 해킹과 연관이 있을 가능성이 있다는 게 보안업계의 의견이다. 경찰은 소액결제에 사용된 가입자 생년월일 등을 외부에서 입수했을 것으로 추정하고 있지만, 이미 중앙서버에서 정보 유출이 확인된 이상 안심할 수 없다는 지적도 나온다.
최지희/강경주 기자 mymasaki@hankyung.com
관련뉴스
