[디지털데일리 강소현 김보민 기자] SK텔레콤에서 초유의 보안 사고가 터졌다. 지난 18일 유심(USIM) 해킹사고가 발생한 가운데, SK텔레콤이 트래픽 이상 징후 파악 이후 데이터 유출 의심 장비를 파악하기까지 걸린 시간은 29시간40분이었다. 해커가 외부로의 전송 과정에서 데이터를 삭제, 이를 포렌식하는데 시간이 소요된 것으로 전해졌다.

사전 대응과 관련한 부분에서 업계는 “우리가 모르고 지나가는 공격도 많다”라며 높게 평가한다. 한 국내 보안업계 관계자는 “음성인증장비(HSS)를 비롯해, 통신 서버에서 운영하는 장비는 한개가 아닌 여러개로, 코어, 백업 등 연동 시스템까지 합쳐 이번 해킹 사고에 고려해야 할 요소가 많았던 만큼 (29시간 내 탐지는) 유의미하다고 볼 수 있다”고 말하기도 했다.

결국, 관건은 2차피해를 막기 위한 후속 조치 마련이다. 이번 사고와 관련해 알림문자 조차 받지 못했다는 가입자 항의가 잇따르고 있다. 또 유심 무상교체 카드를 꺼내들었지만, 유심 재고가 부족해 오히려 가입자 우려가 증폭되고 있는 상황이다. 현장 혼란을 최소화하고자 마련한 ‘온라인 예약 서비스’도 접속자가 폭주하며 이용자 불편이 이어지고 있다.

SK텔레콤이 사고 사실을 인지한 직후 신고 이후까지의 타임라인을 <디지털데일리>가 정리해봤다.

◆ 4월18일 오후 6시9분: 네트워크 인프라센터에서 가장 빠르게 인지했다. 정보보호실에서 트래픽 이상 징후를 확인해 인프라운용본부가 처음 조사에 돌입했다. SK텔레콤은 인공지능·디지털 전환(AT·DT)센터 외 네트워크 인프라센터에도 별도의 정보보호실을 두고, 네트워크 관련 보안 이슈에 대해 실시간 대응하고 있다.

◆ 4월18일 밤 11시: 과금분석장비(WCDR)에서 먼저 악성코드 및 파일 삭제 흔적을 확인하고, 다음날(19일) 새벽 1시40분 해당 장비에 대해 격리 조치를 시킨 뒤 침입 경로 및 유출 데이터 분석에 착수했다.

◆ 4월19일 밤 11시40분: 데이터 유출 의심 장비를 찾았다. SK텔레콤 성수 사옥에 배치된 음성 서비스를 위한 가입자 인증 시스템인 음성인증장비(HSS) 5개 중 3개에서 대규모 데이터 유출 정황이 확인됐다. 해커가 통신망 장비에 악성코드를 설치해 유심 관련 일부 정보의 파일을 외부로 전송한 것이었다.

통상 가입자 정보를 관리하는 네트워크는 방화벽을 두어 외부 인터넷프로토콜(IP)로 접속이 불가능한 구조로 설계되어 이론상 해킹이 불가하지만, 불가피하게 외부 인터넷 망과 연결된 장비를 통해 데이터가 유출됐다는 게 SKT 측 설명이다.

외부에 유출된 데이터는 9.7기가바이트(GB) 분량으로 파악됐다. 유출이 의심되는 정보는 ‘불법유심 복제에 필요한 정보들’(전화번호·IMSI·K Value)이다. 업계에선 유심(USIM) 관련 정보가 가입자당 킬로바이트(Kbyte) 수준인 것을 감안하면 사실상 대부분의 가입자의 유심 관련 정보가 유출됐다 봐야 한다고 말한다. 여기에는 SK텔레콤 망을 사용하는 알뜰폰 가입자도 포함된 것으로 추정하고 있다.

◆ 4월22일: 한국인터넷진흥원(KISA)에 사고 사실을 신고했다. 사고 원인은 '불상의(알 수 없는) 해커로 추정되는 불상의 자에 의해 사내 장비에 악성코드를 설치해 당사 내 시스템의 파일을 유출한 의심 정황이 파악됨'으로 적시됐다. 정확한 악성코드 설치 경로와 방법은 현재 조사 중이다.

◆ 4월25일 오전 11시: SK텔레콤 유영상 대표와 임원들이 서울 을지로 SK텔레콤 사옥에 '고객정보 보호조치 강화' 관련 언론설명회를 열었다. 28일부터 유심 무상교체를 실시한다는 내용이 골자다.

유 대표는 이날 기자회견에서 “이용자 정보를 보호해야 할 책무가 있는 국가 기관 통신 사업자로서 이번 사고에 대해 저를 비롯한 SK텔레콤 임직원 모두가 깊은 유감과 책임을 느낀다”며 “SK텔레콤은 이번 침해 사고 발생 이후 과학기술정보통신부(과기정통부), 개인정보보호위원회(개보위), 한국인터넷진흥원(KISA), 경찰 등 관계 당국과 함께 사고 원인 분석 및 피해 내용 파악에 최선을 다하고 있다”고 말했다.

◆ 4월27일: 대고객 입장문 발표를 통해 이용자들에 유심보호서비스 가입을 권고했다. 유심 무상교체에 따른 오프라인 매장 혼란 및 유심 부족 등 문제가 발생할 것으로 예상되는 가운데, 우선적으로 유심보호서비스에 가입해 달라는 요청이다. 가입 이후 해킹 피해가 발생하는 경우에는 100% 책임 지겠다고 강조했다.

◆ 4월28일: 유심 무상교체에 돌입했다. 무상교체가 시작된 이날 대리점 곳곳마다 유심 교체를 기다리는 대기 행렬이 길게 늘어졌다. 그나마도 각 매장이 확보한 유심은 100개 이하로, 긴 시간 기다리고도 유심을 교체하지 못하는 이들이 발생했다.

이러한 상황은 일찍이 예고됐다. SK텔레콤 가입자 2300만명과, SK텔레콤의 망을 사용하는 알뜰폰 가입자 187만명을 합하면 교체 대상자가 약 2500만명에 달하는데, SK텔레콤이 보유한 유심 재고는 약 100만개에 불과한 것으로 추정됐기 때문이다. 현장 혼잡은 내달 중순까지 이어질 것이라고 업계는 보고 있다.