김종우 서울경제부 차장

SKT, 흔한 해킹 툴에 뚫리고 3년간 몰라
"백신 설치 어렵다"→"설치 진행 중이다"
정부, IMEI 유출 "없었다"→"확인 안 돼"
복제폰 "방지된다"→"좀 어렵다는 판단"

“믿고 안심하셔도 됩니다.”

SK텔레콤이 유심(USIM) 정보 유출 사태와 관련, 가입자에게 강조한 말이다. ‘보안 기술 고도화’로 해킹 2차 피해를 막을 수 있다는 설명이다. 금융 피해가 발생해도 100% 보상하겠다고 강조했다. 그럼 정말 안심해도 되는 걸까.

SK텔레콤을 공격한 해커는 2022년 6월 최초 악성코드를 심었다. 해킹 사태에 대한 민관합동조사단의 공식 조사 결과다. 해커는 먼저 서버 장악을 위해 웹쉘(Web Shell) 프로그램을 침투시켰다. 이후에는 ‘BPF도어’(BPFdoor)라는 악성코드를 심었다.

웹쉘은 서버에서 임의의 명령을 실행할 수 있도록 제작한 프로그램이다. 비교적 흔하게 사용되는 해킹 도구다. ‘BPF도어’는 보다 은밀하고 정교한 해킹 도구로 원격 제어형 백도어로 분류된다. BPF도어는 중국계 해킹 그룹과 연관된 것으로 알려져 있다.

해커는 SK텔레콤 서버 23대에 25종의 악성코드를 심었다. 감염 서버는 추후 조사로 늘어날 수 있다. 해커가 지난 3년간 무엇을 했는지 정확히 밝혀지지 않았다. 드러난 것은 지난달 2695만 건의 유심(USIM) 정보를 빼내갔다는 사실이다.

SK텔레콤은 해킹 사실을 3년간 몰랐던 데 대해 “침해는 알기 어렵다”고 해명했다. 또 통신망의 원활한 유지를 위해 백신 프로그램 설치가 어렵다고 강조했다. 통신망이 백신 없이 운영된다는 사실은 국회 청문회 등을 통해서도 확인됐다.

SK텔레콤은 침해를 탐지하기 어렵지만 “(정보) 유출은 감지할 있다”고 자신했다. 그러나 이 설명대로라면 정보 유출이 발생한 뒤에야 해킹을 알 수 있는 셈이다. 이에 대해 SK텔레콤 측은 “뼈아픈 부분”이라고 설명했다. 웹쉘이라는 흔한 해킹도구 사용을 잡아내지 못한 데 대해서도 “뼈아픈 부분”이라고 말했다. SK텔레콤은 보안 관련 비판이 이어지자 당초 “어렵다”던 백신 설치도 “진행 중”이라고 입장을 바꿨다.

SK텔레콤 해킹 사태와 관련해선 정부의 발표도 오락가락이다. 정부는 지난달 29일 발표한 1차 조사 결과에서 “단말기 고유식별번호(IMEI) 유출은 없었다”고 강조했다. IMEI 유출이 없었다는 것은 이날 배포된 정부 자료의 제목이었다. 정부는 “유출된 정보로 유심을 복제해 다른 휴대전화에 꽂아 불법적 행위를 하는 행위가 방지됨을 확인했다”고 강조했다. IMEI가 없어서 ‘복제폰’을 만들 수 없다는 설명이었다.

그러나 정부는 한 달도 안 돼 IMEI 유출 여부에 대해 “모른다”로 입장을 바꿨다. 지난 19일 2차 조사 결과 발표에서 정부는 “악성코드가 감염된 서버들에 대한 분석 중 IMEI 등이 포함돼 있음을 확인했다”고 밝혔다. 특히 해당 서버의 로그기록이 없는 2년여 기간에 대해 “자료 유출 여부가 확인되지 않았다”고 밝혔다.

IMEI 유출 여부에 대한 입장이 바뀐 데 대해 정부는 1차 조사가 “조사 초기였고” “서버 분석 작업을 긴급히 한 것”이라고 해명했다. 조사가 충분하게 진행되지 않은 상황에서 성급하게 IMEI 유출이 없었다고 발표함 셈이다. 성급한 발표에 대해 정부 관계자는 “광범위하게 확산됐던 우려를 해소하자는 목적이었다”고 설명했다. 정확한 진상 규명보다 ‘우려 해소’ 목적이 앞섰다는 사실을 인정한 발언이다.

IMEI가 유출됐을 경우 복제폰은 만들어질 수 있는 걸까. 정부는 “좀 어렵다는 판단”이라고 설명했다. “IMEI 숫자 조합만 가지고는 복제폰은 원천적으로 불가능하다는 것이 제조사들의 해석”이라고 밝혔다. 정부는 그러나 “복제폰이 가능한지 여부에 대해서 100% 말하기 어렵다”고 밝혔다. “기술적으로 100% (안전은) 장담하기 어려운 부분”이라는 설명이다. 가입자로서는 혼란스러울 수밖에 없다.

통신리서치 전문회사인 컨슈머인사이트 조사 결과 SK텔레콤의 해킹 사태 '대응'에 대한 긍정 평가는 11%에 그쳤다. 신속한 처리, 충분한 사고 대응과 보상, 가입자 입장에서의 공감과 투명한 소통 모두 제대로 하고 있지 못하다는 응답이 70%에 육박했다. 이번 해킹 사태가 본인에게 미칠 영향에 대해서는 3명 중 2명(63%)이 '우려한다'고 답했다. SK텔레콤 이외 KT와 LG유플러스 가입자도 이번 사태를 민감하게 받아들이는 모습이다. 정부 대응에 대해서도 같은 조사를 한다면 SK텔레콤보다 나은 평가를 받기 어려울 것으로 보인다. kjongwoo@busan.com

김종우 기자 kjongwoo@busan.com