SKT 해킹사태 일파만파…개인정보 탈취 우려 속 대응 전략은 [인터뷰]

[뉴스포스트=최종원 기자]  SKT 침해사고 민관합동조사단은 지난 19일 기준 유출된 유심정보 규모가 9.82GB 규모이며, IMSI 기준 2695만건이라고 발표했다. 해커가 악성코드를 심은 시점은 2022년 6월 15일로 특정됐고, 이날부터 지난해 12월 2알까지는 로그 기록이 남지 않아 정보 유출 여부를 확인하지 못했다.

조사단은 다만 이후 12월 3일부터 지난달 24일까지는 데이터 유출이 없었다고 밝혔다. SKT는 유출 우려가 제기된 IMEI에 대해 아직 유출 사실이 없다며, 복제도 사실상 불가하다고 강조했다.

류 센터장은 "4차례의 서버 전수조사에 따른 결과 추가유출은 없었고, 과거 기록에서도 유출은 없었다"며 "자사는 망 센싱에 강점이 있고 악성코드 감염 우려가 제기된 2022년 6월부터 수사기관에 의뢰했지만 불법복제사례는 없었다"고 설명했다. 

단말복제 차단은 또 휴대폰 제조사의 역량이며, 복제가 이뤄지고 정상단말이 되려면 제조사 외에도 이동통신사 인증이 필요하다고 덧붙였다. 당일 브리핑 참석 기자들의 질문에 관한 SKT 관계자들의 답변을 일문일답 인터뷰 형식으로 재구성했다.

Q. 국내 통신사에도 지난해 7월과 12월 두차례에 걸쳐 악성코드에 침투했다고 한다. 정보 유출은 없었다고 하지만, 이와 유사한 공격을 받은 사실이 있나? BPF도어 악성코드와 어떤 연관이 있는지?

류정환 SKT 네트워크인프라센터장: 구체적인 근거는 말할 수 없지만 유출은 없다고 다시 한번 강조드릴 수 있다. 침해와 유출은 다른 개념이며, 유출은 없었다.

Q. 기존에도 중국 기반의 ATP 해커 그룹 레드맨션이 BPF도어 공격을 감행했는데 사고를 막을수는 없었나?

류 센터장: 미흡한 점을 살펴보고 있다. 백신, 암호화도 많이 얘기해주시는데 무조건 좋은 점만 있진 않다. 성능 저하가 될 수 밖에 없고 투자 임계치가 있다. 하지만 이번 사고로 투자 임계치를 강화할 계획이다. 백신을 통한 암호화에도 신경쓰겠다.

Q. 유출된 유심정보가 9.82GB(IMSI 기준 2695만건)이고 이미 2022년 6월부터 서버에 악성코드가 심어졌다는데, 알아채지 못한 것인가?

류 센터장: 해커들도 특정패턴이 있다. 패턴 기반으로 자사가 센싱해서 유출 침해를 신고했다. 과거 데이터까지 들여다 봤는데 유출은 없었다. 해커의 공격 특성을 이해해보면, ATP 공격은 생성하고 유출하기까지 수년 이상 오랜 시간이 걸린다. 해커가 2022년부터 허점을 찾다가 올해 4월 첫 침해를 했다든지의 추정도 있다. 로그 데이터가 없는 시기와 외부 데이터도 보고 있다. 하지만 현재 데이터로는 유출이 없다.

김희섭 SKT PR센터장: 자사는 24시간 통신망을 모니터링하고 있다. 사고 경위도 SKT에서 자체적으로 감지한 것이다. 악성코드를 검사했고 데이터 유출 가능성이 있는 건 사실이다. 하지만 숨긴 게 아니고 보안체계는 운영이 되고 있었으며 1년전 대량 데이터 유출 사태도 자사 기술로 감지가 가능했다. 감시망을 가동하고 있던 시기에는 이상한 징후가 없었다. 4월에야 첫 사례가 나온 거다.

Q. 트렌드마이크로보고서를 보면 ATP 해커 그룹 레드멘션이 많이 언급되는데 배후로서 완전 배제할 수는 없지 않은가?

류 센터장: 모든 가능성을 열어 놓고 조사 중이다.

Q. IMEI 탈취에 걸린 시간이 있었을텐데 그 시간동안 왜 알지 못했는가? 암호화가 잘 안됐다는 지적이 있는데 어떻게 생각하는지?

류 센터장: 자사 자체적으로도 조사하고 있고, 조사단에 정보를 제공하는 부분이 있고, 조사단이 저희에게 정보를 주는 부분도 있다. 암호화를 법적으로 해야하는 부분이 있고 사업자가 자체적으로 할수있는 부분이 있는데 모든 부분을 암호화하면 여러 통신장애 우려가 있는 게 사실이다. 그럼에도 보안장치 늘리고 인원 늘리는 등 통합적으로 변화하고 있다.

Q. 조사단에서 통화 세부 기록(CDR) 관련 데이터베이스 해킹은 아직 발견되지 않았다고 했는데, 향후 해킹 가능성조차 없는 것인지 감청이 이뤄질 수도 있는 것인지 여쭤본다.

김 센터장: 같이 조사하기도 하고, 먼저 조사한 부분을 조사단에 전달하기도 한다. 정보를 바로바로 설명드리긴 어려운데, 공개적으로 알려드리는 건 혼란을 줄 수 있기 때문이다. 여러기관에서 요청하는 자료를 성실히 제출하고 있다.

류 센터장: CDR은 암호화돼 있어 유출이 이뤄지지 않았다.

Q. 방화벽 기록이 작년 12월부터 4월까지만 남아있다. 정기통신사업자는 2년 이상 보관해야하는 의무가 있는 것으로 안다. 왜 짧은 기간 밖에 기록이 없는 건지 설명해달라.

류 센터장: 개인정보 보관과 방화벽 보관은 다른 부분이고, 법적으로 이건 정해져있지 않다. 다만 서버 기록은 관리자라면 2년 이상 기록을 남겨야 한다고 알고 있다.

Q. 로그기록이 남아있지 않은 시기에 IMEI 유출가능성이 없다고 확언할 수 있나? 

류 센터장: 경찰청과 자사 데이터를 판독한 결과 아직까지 유출된 정보는 없다.

김 센터장: 악성코드가 처음 심어졌을 때부터 5개월 이전까지 기록이 없기 때문에 확인되지 않았다. 다만 감시체계는 계속 운영하고 있고 이상징후 있었으면 파악해서 신고했을 것이다. 유출은 확인되지 않았다. 

Q. 유출된 IMEI 29만건에 대해 조치해야 한다는 의견이 있는데, 유출 명단이 확보가 됐는가? 어떻게 대응할 것인가? 

류 센터장: 사실을 바로잡자면 29만건이 유출된 게 아니다. 방화벽 안에서 발견된 침해 건수다. 유출과 상관없다. 불법 단말은 우리 망에서 차단할 수 있다. 고객들은 별도의 조치가 필요없다. 침해를 잡아내기는 굉장히 어렵다. 보안 강화하겠지만 2022년 6월이 최초의 악성코드 생성날짜인지도 의문이다. 생성날짜를 조작하는 해커도 많다. 확신할 수 있는 건 없다.

임복호 MNO 사업부장: 최악의 상황을 가정해 유심보호조치를 시행 중이다. 단말복제에 대해서도 차단이 가능하다. 제조사에서도 IMEI로 단말 복제가 어렵다고 강조했다. 

Q. 원가입자가 핸드폰을 꺼놨을때도 FDS로 불법단말을 탐지할 수 있는가? 공격자는 핸드폰을 켤수도 있을텐데. 그리고 알뜰폰에는 아직 미적용인것인지?

김 센터장: 통장, 개인정보, 카카오톡 정보가 유출되는 것이 아니냐는 질문을 많이 받는다. 불가능하다. 해당 정보는 통신사업자가 저장하지도 않고 해킹사업자가 가져가지도 못할 뿐더러 단말회사나 서비스회사가 보유하고 있다. 그리고 폰이 꺼져도 동일한 번호로는 다른 핸드폰에서 접속하지 못한다. 꺼져서 내 폰이 끊어져도 그렇다. 그리고 사람, 단말, 유심까지 종합적인 판단으로 정상 가입자를 판단하기 때문에 복제는 불가능하다.

류 센터장: 알뜰폰은 FDS 미적용인데, 조만간 적용할 것이다.

Q. 임시서버에서 정보가 갱신되고 있을텐데, 갱신된 정보가 나갈 수도 있나? 갱신된 기간 동안 정보가 얼마나 저장됐는가? 그리고 침해와 유출을 다르게 보는 건 아닌 것 같다. 

류정환 센터장: 뼈아픈 지적이다. 성찰해서 바꿀것이고 일정 부분 해소하겠다. 특정해서 말씀드릴수 없지만 조사결과를 결국 기다려야 한다. 자체적으로 고도화하고 FDS 등 암호화를 하고 있지만 해커들도 고도화되고 있다. 악성코드가 복잡해지는 상황에서 효과적 차단을 위한 기술개발에 나서고 있다. 관업체와도 협업 중이고, 현재 가진 기술로는 유출이 없다고 보고 있다. 8대의 감염된 서버에서 조사를 진행중이며, IMEI를 보관하는 서버 2대도 포함돼 있다. 이 서버들에서 유출은 없었다.

Q. IMEI에 기반한 유심보호서비스가 정말 안전한 것인지?

류 센터장: 기술적으로 안전하다. 혹여나 피해 발생시 보상하겠다.

임 센터장: 유심보호서비스는 유심 복제에 대해 조치할 수 있다. IMEI가 설사 유출돼도 복제폰 만드는 게 불가하도록 안전하게 조치했다.

Q. 클라우드, 라우터에도 침투할 수 있는데 보안을 어떻게 할 것인가?

류 센터장: 그런 부분에서 침투할 수 있다고 단정짓기는 어려운 것 같다. 동향을 살펴보고 있다.

Q. FDS 2.0은 생소한데, 업데이트가 언제 이뤄지는건가? IMEI 유출돼도 큰 문제 없다고 하셨는데 당초 IMEI 유출 안됐다고 하지 않으셨나? 그리고 과기부에서 피해보상책 확실히 하라고 언급했는데 기존과 달라진 부분이 있는가?

류 센터장: 2.0은 준비 중이고 일요일 4시에 적용 예정이다. 유출 관련해서는 단말제조사의 영역도 있다. 엔지니어 역량도 중요하기 때문이다.

김 센터장: 내부적으로 논의중이고, 이번에 발족한 고객신뢰위원회 의견을 참조해서 발표할 것이다. 

임 사업부장: 제조사는 IMEI 값만으로 복제폰을 만들 수 없다는 의견을 강조했다. 

Q, 고객신뢰위에 SK그룹과 연이 깊은 사람들이 있던데 독립성이 보장될 수 있는 체계인가?

김 센터장: 고객신뢰위원회 위원들은 사내에서 경로를 추천받아 오신분들이다. 전문성있고 활동이 많으셔서 적합하다고 판단했다. 자사에서 몇 번의 강연과 프로젝트를 했다고 친한인사라고 단정짓기는 어렵다. 다른 회사나 기관에서도 많이 활동하신 전문가 분들이다. 자사 쪽에 기울여져있다는 건 적절치 않은 듯하다

Q. FDS는 2023년 6월에 도입했고, 2022년 6월에 악성코드가 처음 발견됐다. 1년 동안의 공백이 있는데 안전한게 맞는가?

류 센터장: 불법유심복제에 대한 고객 데이터 유출 사고는 당시 나오지 않았다. 

김 센터장: 철저히 챙기고 보안조치 강화했더라면 일어나지 않았을 것이라는 아쉬움이 있다. 대처 가능했다는 비판에 대해 인지하며 뼈저리게 사과드린다. 되풀이되지 않게 많이 배우고 보안을 튼튼히 해 고객들이 안심하게 망을 사용할 수 있도록 노력하겠다.