해커 놀이터 된 한국…통신3사 모두 뚫렸다

SK텔레콤에 이어 KT, LG유플러스까지 통신 3사가 모두 조직적인 해커 집단의 공격에 장기간 노출된 사실이 드러났다. KT는 무려 94대의 서버가 악성코드에 감염됐다. 서버 수 기준으로 SK텔레콤의 세 배가 넘는 규모다. LG유플러스는 서버 정보와 경비 방식 등을 관리하는 ‘중앙 시스템 통제 지도’가 외부에 유출된 정황이 확인됐다.

과학기술정보통신부 민관합동조사단은 29일 KT와 LG유플러스 침해사고 관련 최종 조사 결과를 발표했다. 조사단은 KT 서버 94대가 2022년 4월부터 BPF도어 등 악성코드 103종에 감염됐다고 밝혔다. BPF도어 등은 SK텔레콤에서도 동일하게 확인된 해킹 수법이다. 금고에 들어갈 수 있는 뒷문을 주인 몰래 설치해 놓고, 제집 드나들 듯 금고 안의 귀중품을 빼가는 방식이다. 중국·북한 출신 해커 집단이 주로 사용하는 방식으로 알려졌다. 류제명 과기정통부 차관은 “BPF도어 등 공격 방식이 중국발(發)은 맞지만 국가 배후를 특정하고 접근해서는 안 된다”며 “BPF도어가 세계적으로 널리 쓰이는 해킹 도구인 만큼 다른 세력이 있다는 사실도 열어두고 있다”고 말했다.

서버 공격 외에 KT는 불법 초소형 기지국(펨토셀) 관리 소홀로 가입자가 실제 금전 피해를 본 것이 이날 재확인됐다. 무단 소액결제 피해자는 368명, 최종 피해액은 2억4300만원이다. 과기정통부는 KT의 보안 조치가 총체적으로 미흡했다는 점을 근거로 “계약 해지를 원하는 가입자는 위약금을 면제받을 수 있다”고 밝혔다. KT는 “위약금 등의 보상안은 추후 논의를 거쳐 구체적인 내용을 발표하겠다”고 했다. SK텔레콤은 사고 최종 결과 발표 이후 10일간 위약금 면제를 시행했다.

해킹 흔적이 남아 있을 것으로 추정되는 서버를 고의로 제출하지 않고, 8월 이후 서버 운영체제(OS)를 바꾸는 등의 방식으로 조사를 방해한 LG유플러스는 경찰 조사가 이뤄질 예정이다.

'해킹' 알고도 신고 안한 KT…LG유플은 흔적 지우려 증거 인멸
KT, 무단 소액결제 조사 과정서 악성코드 감염 인지하고도 미신고

과학기술정보통신부 민관합동조사단이 29일 발표한 ‘KT, LG유플러스 침해사고 최종 조사 결과’는 해킹의 범위와 파급력 측면에서 충격적이라는 게 보안 전문가들의 지적이다. 2021년부터 최근까지 통신 3사 모두에서 조직적인 해커 집단이 제집 드나들 듯 개인정보를 탈취한 정황이 확인돼서다. SK텔레콤이 올 4월 유심 유출 사고를 확인하고 주요 서버가 악성코드에 감염됐다는 사실을 보안당국에 신고하지 않았더라면 지금까지도 통화 기록 등 통신 3사 서버에 저장된 정보가 해커 손아귀에서 놀아났을 가능성이 높다.

◇SK텔레콤 자진 신고 없었더라면…

이날 정부 발표를 종합하면 통신사 해킹이 시작된 건 2021년이다. 지난 7월 SK텔레콤 유심 해킹 사태 조사 결과를 발표하며 류제명 과기정통부 차관은 “해커가 SK텔레콤 내부 서버에 최초로 악성코드를 심은 시점은 2021년 8월 6일로 추정된다”고 밝혔다.

KT는 이듬해인 2022년 4월부터 해킹 공격을 받은 것으로 보인다. 민관합동조사단이 KT 서버 3만3000대를 여섯 차례 점검한 결과 서버 94대가 BPF도어, 루트킷, 디도스 공격형 코드 등 악성코드 103종에 감염된 것으로 밝혀졌다. SK텔레콤이 서버 28대에서 33종의 악성코드에 감염됐다는 점을 고려하면 KT의 피해 범위가 더 크다는 것을 알 수 있다. ‘화이트 해커’ 출신 보안업계 관계자는 “동일범인지는 확인하기 어렵겠지만 SK텔레콤 서버에 잠복한 해커가 몇 개월간 들키지 않자 KT 서버를 공격할 때 더 과감해진 것이라고 해석할 수 있다”고 말했다.

업계 3위인 LG유플러스는 2023년 약 30만 건의 개인정보가 유출되는 보안 사고를 겪었다. 당시 정부는 LG유플러스에 해킹을 통해 외부 침해자가 내부 데이터에 접근할 수 있는 취약점이 존재했다는 점을 확인했다. 이와 관련, 이날 류 차관은 “(개인정보) 유출 정황이나 (해킹의) 최초 시점을 파악할 수는 없었다”면서도 “조사 결과 LG유플러스의 통합 서버 접근제어 솔루션(APPM)과 연결된 서버 정보가 유출된 것으로 확인됐다”고 발표했다.

APPM은 ‘누가 언제 어떤 서버에 접근하는지를 관리하는 시스템’이다. 어떤 서버에 어떤 계정이 존재하는지를 알 수 있는 일종의 내부 서버 지도라고 할 수 있다. 보안업계 관계자는 “쿠팡은 내부자가 시스템 전체를 제어할 수 있는 ‘루트 키’를 빼돌렸다면 LG유플러스는 금고 열쇠만 안 털렸을 뿐 금고 위치, 경비 동선, 열쇠 보관 담당자 명단 등이 털린 것이나 마찬가지”라고 설명했다.

◇은폐·조작·부실 대응…통신 3사 민낯

정부 발표에서 드러난 KT와 LG유플러스의 행위에 대해 비판의 목소리가 높아지고 있다. LG유플러스는 증거 인멸 의혹이 강하게 제기되고 있을 정도다. 최광기 과기정통부 사이버침해대응과장은 “LG유플러스는 APPM 서버 2대 중 백업용 1대만 조사단에 제출했고 제출한 서버의 운영체제(OS)를 8월 12일 업그레이드하면서 침해사고 흔적을 모두 지웠다”고 말했다.

게다가 LG유플러스는 협력사 직원 노트북에서 LG유플러스 APPM 서버로 이어지는 네트워크 경로상 주요 서버 등도 8월 12일부터 약 한 달간 OS를 재설치하거나 폐기한 것으로 확인됐다. 류 차관은 “시점을 확인했을 때 LG유플러스의 행위가 부적절하다고 판단하고 이달 위계에 의한 공무집행 방해로 경찰청 국가수사본부에 수사를 의뢰했다”고 밝혔다. KT 역시 최근 불법 펨토셀(이동 기지국)을 통한 무단 결제를 조사받는 과정에서 악성코드에 감염된 서버 43대를 발견하고도 당국에 신고하지 않은 사실이 드러났다. SK텔레콤은 2022년 2월 특정 서버에서 비정상 재부팅이 발생했지만 이를 신고하지 않은 채 넘겼다.

기업의 보안관리 부실 정황이 확인되면서 정부는 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P) 인증을 받은 기업이라도 해킹이나 개인정보 유출 등 중대한 보안 사고가 발생하면 인증을 즉각 취소하는 방안을 내놨다. 피해 규모가 1000만 명 이상이거나 반복 위반, 고의·중과실 위반 행위로 사회적 영향이 큰 경우 인증을 즉시 취소하는 조치다.

최지희/이영애 기자 mymasaki@hankyung.com