SK텔레콤 침해사고 최종 조사결과 발표..."위약금 면제 규정 적용 가능"

민관합동조사단, 전체 서버 4만여 대 전수조사 실시

[한국정보기술신문] 과학기술정보통신부는 4일 SK텔레콤 침해사고에 대한 민관합동조사단의 최종 조사결과를 발표했다. 조사단은 국내 최대 이동통신사의 침해사고라는 점과 유심정보 유출로 인한 국민 우려를 고려해 SK텔레콤 전체 서버 4만2605대를 대상으로 강도 높은 전수조사를 실시했다고 밝혔다.

감염서버 28대에서 악성코드 33종 발견

조사 결과 총 28대의 서버가 악성코드에 감염된 것으로 확인됐다. 발견된 악성코드는 BPFDoor 27종을 포함해 총 33종으로, 타이니쉘 3종, 웹쉘 1종, 공개 소프트웨어 악성코드 2종 등이 포함됐다. 이들 악성코드 정보는 피해 확산 방지를 위해 백신사, 경찰청, 국정원 등 주요 기관에 공유됐다.

이번 침해사고로 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종으로 확인됐다. 유출 규모는 9.82기가바이트(GB)로 가입자 식별번호 기준 약 2696만 건에 달한다. 유심정보는 통신사가 사용자를 식별할 때 사용하는 핵심 정보로, 유출 시 유심 복제 등 심각한 보안 위험을 초래할 수 있다.

개인정보·통신기록 추가 유출 가능성도 제기

조사단은 감염서버 중 단말기식별번호(IMEI), 개인정보가 평문으로 저장된 서버 2대와 통신기록(CDR)이 평문으로 저장된 서버 1대를 추가로 발견했다. 방화벽 로그기록이 남아있는 기간에는 자료 유출 정황이 없었지만, 악성코드 감염 시점부터 로그기록이 없는 기간에는 유출 여부를 확인할 수 없다고 밝혔다.

초기 침투는 2021년 8월...3년간 잠복

공격자의 초기 침투는 2021년 8월로 거슬러 올라간다. 공격자는 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버에 접속한 후, 원격제어와 백도어 기능이 포함된 악성코드를 설치했다. 당시 서버에는 시스템 관리망 내 다른 서버들의 계정 정보가 평문으로 저장돼 있어 공격자가 이를 활용해 추가 침투를 진행한 것으로 분석됐다.

공격자는 2021년 12월 음성통화인증(HSS) 관리서버에 접속해 BPFDoor 악성코드를 설치했다. 이후 2022년 6월에는 고객 관리망 내 서버에도 악성코드를 추가로 설치하며 공격 거점을 확대했다. 공격자는 약 3년 7개월간 시스템에 잠복하며 단계적으로 침투 범위를 넓혀갔다.

올해 4월 대규모 정보 유출 실행

최종적인 정보 유출은 올해 4월 18일에 실행됐다. 공격자는 음성통화인증 3개 서버에 저장된 유심정보 9.82GB를 시스템 관리망 내 외부 인터넷 연결 접점이 있는 서버를 거쳐 외부로 유출했다. SK텔레콤은 4월 18일 23시 20분 평소 대비 대용량 데이터가 외부로 전송된 정황을 인지했다.

SK텔레콤은 침해사고를 인지한 후 4월 20일 16시 46분에 한국인터넷진흥원에 신고했다. 이는 정보통신망법상 24시간 이내 신고 의무를 위반한 것으로, 3천만 원 이하 과태료 부과 대상이다. 과기정통부는 신고 지연에 대해 법령에 따라 과태료를 부과할 예정이라고 밝혔다.

조사단은 이번 침해사고의 주요 원인으로 SK텔레콤의 계정정보 관리 부실을 지적했다. 음성통화인증 관리서버의 로그인 ID와 비밀번호가 다른 서버에 평문으로 저장돼 있었고, 공격자가 이를 활용해 서버에 침입했다. SK텔레콤은 시스템 관리망 내 서버의 계정 패스워드를 장기간 변경하지 않은 것으로도 확인됐다.

SK텔레콤은 2022년 2월 특정 서버에서 비정상 재부팅이 발생해 악성코드에 감염된 서버를 발견했지만, 정보통신망법에 따른 신고 의무를 이행하지 않았다. 당시 점검 과정에서 이번 사고의 핵심인 음성통화인증 관리서버에 비정상 로그인 시도가 있었던 정황도 발견했지만, 6개 로그기록 중 1개만 확인해 공격자의 서버 접속 기록을 놓쳤다.

유심 인증키 암호화 미실시

유출된 정보 중 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값이 암호화되지 않은 채 저장됐다. 세계이동통신사업자협회(GSMA)는 이 정보의 암호화를 권고하고 있으며, KT와 LG유플러스도 암호화해 저장하고 있지만 SK텔레콤만 암호화하지 않았다. 이는 국제 권고사항과 업계 표준을 무시한 것으로 평가된다.

과기정통부가 침해사고 원인 분석을 위해 자료 보전을 명령했지만, SK텔레콤은 서버 2대를 디지털 증거수집이 불가능한 상태로 임의 조치했다. 이는 정보통신망법 위반으로 2년 이하 징역 또는 2천만 원 이하 벌금 대상이며, 과기정통부는 수사기관에 수사를 의뢰할 예정이라고 밝혔다.

SK텔레콤의 보안 관리 시스템에는 구조적 문제가 다수 발견됐다. 연 1회 이상 서버 보안점검을 수행하고 있지만 쉽게 탐지 가능한 웹쉘은 점검항목에 포함하지 않아 발견하지 못했다. 또한 전화번호 마스킹 규칙이 담긴 정보를 통신기록이 임시 저장된 서버에 저장하는 등 마스킹된 정보의 보안관리도 미흡했다.

SK텔레콤은 협력업체로부터 공급받은 소프트웨어를 면밀히 점검하지 않고 내부 서버 88대에 설치해 악성코드가 유입됐다. 다행히 유입된 악성코드가 SK텔레콤 시스템에서 실행된 흔적은 없었지만, 공급망 보안의 심각한 취약성을 드러냈다. 이는 최근 글로벌 사이버 공격 트렌드인 공급망 공격에 무방비 상태였음을 보여준다.

정보보호 거버넌스 체계 미흡

SK텔레콤의 정보보호 관리체계에도 근본적 문제가 있었다. 정보통신망법에 따라 정보보호 최고책임자(CISO)가 정보보호 관련 업무를 총괄해야 하지만, 보안 업무를 정보기술 영역과 네트워크 영역으로 구분해 정보보호책임자는 정보통신 영역만 담당하고 있었다. 이로 인해 전사적 정보보호 정책의 일관성 있는 추진에 한계가 있었다.

2024년도 정보보호 공시 기준 SK텔레콤의 가입자 100만 명당 정보보호 인력은 15명으로 통신사 평균 17.7명보다 적었다. 투자액도 37.9억 원(SKB 포함)으로 통신사 평균 57.4억 원을 크게 하회했다. KT의 경우 가입자 100만 명당 정보보호 인력 25.1명, 투자액 90.8억 원으로 SK텔레콤과 현저한 차이를 보였다.

과기정통부는 SK텔레콤에 포괄적인 재발방지 대책을 요구했다. 주요 내용으로는 계정 비밀번호 관리 강화, 주요 정보 암호화, 정보보호 관리체계를 CEO 직속으로 강화, 정보보호 인력과 예산 확대 등이 포함됐다. 또한 EDR, 백신 등 보안 솔루션 도입 확대, 제로트러스트 도입, 분기별 보안 취약점 정기 점검 등도 요구했다.

위약금 면제 규정 적용 가능 판단

과기정통부는 이번 침해사고에 대해 SK텔레콤 이용약관상 위약금 면제 규정 적용이 가능하다고 판단했다고 발표했다. 9개 법률 자문기관 중 8개 기관이 SK텔레콤의 과실과 계약상 주된 의무 위반을 인정했고, 이는 '회사의 귀책 사유'에 해당한다는 의견을 제시했다. 다만 이는 SK텔레콤 약관과 이번 사고에 한정된 판단이며, 모든 사이버 침해사고에 일반적으로 적용되는 해석은 아니라고 명확히 했다.

과기정통부는 SK텔레콤에 7월까지 재발방지 대책 이행계획을 제출하도록 하고, 8~10월 이행 과정을 거쳐 11~12월 점검을 실시할 계획이다. 보완이 필요한 사항 발생 시 정보통신망법에 따라 시정조치를 명령할 방침이다. 또한 국회 과학기술정보방송통신위원회 내 전담조직과 논의를 거쳐 통신망 보호를 위한 별도 법제도 방안과 민간 정보보호 투자 확대 방안 등을 마련할 계획이라고 밝혔다.

유상임 과기정통부 장관은 "이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 기반 전반의 정보보호에 경종을 울리는 사고였다"며 "다가올 인공지능 시대에는 사이버위협이 인공지능과 결합해 더욱 지능화, 정교화될 것으로 예상되는 만큼 정부는 사이버 위협 예방부터 사고 대응까지 전반적인 보안 체계를 개편하겠다"고 밝혔다. 이번 사고를 계기로 민간 분야 정보보호 전반의 체계를 개편할 필요성이 제기됐다는 것이 정부의 판단이다.

한국정보기술신문 정보보안분과 이승기 기자 news@kitpa.org