[디지털데일리 김보민기자] SK텔레콤 해킹 주체에 대한 갑론을박이 계속되고 있다. 중국에 이어 북한 배후설까지 제기된 가운데, 일부 보안 전문가는 악성코드가 최초 설치된 시점을 주목하는 분위기다. 공격에 사용된 악성코드 소스가 약 3년 전 무료로 공개됐다는 점과 SK텔레콤 내부에 침투가 성공한 시점을 비교하면, 공격 시나리오와 주체를 유추해볼 수 있다는 취지다.

22일 보안업계에 따르면, 과학기술정보통신부(이하 과기정통부) 민관합동조사단은 SK텔레콤 해킹 사고를 조사하는 과정에서 악성코드 25종(BPF도어 24종+웹셸 1종)을 발견했다. 조사단은 초기 조사에서 발견한 BPF도어와 더불어, 최근 웹셸 악성코드를 추가로 포착했다.

악성코드 피해 범위는 더욱 넓을 것으로 예상되고 있다. 민관합동조사단과 별도로 조사를 진행하고 있는 개인정보보호위원회(이하 개인정보위)는 유출 경로로 확인된 가입자인증시스템(HSS) 등 5대 외에도 통합고객시스템(ICAS) 서버 2대를 포함해 총 18대 서버에 악성코드가 추가 감염됐다는 점을 파악했다. 해당 서버에는 이름, 생년월일, 휴대전화번호, 이메일, 단말기식별번호(IMEI), 가입자식별번호(IMSI) 등 238개 정보가 저장된 것으로 확인됐다. 대다수 민감성이 높은 정보다.

해킹 주체로는 국가 배후 조직이 거론되고 있다. SK텔레콤과 같은 대형 통신사를 전략적으로 노렸다는 점을 고려하면, 국가 배후 조직 만이 실제 공격이 가능했을 것이라는 이유에서다.

특히 중국 배후설이 부각되고 있다. 글로벌 보안기업 트렌드마이크로에 따르면 중국 기반 공격자 '레드멘션'은 BPF도어를 악용해 한국 통신사를 대상으로 스파이 활동을 벌였다. 안랩 시큐리티인텔리전스센터(ASEC)도 이달 보고서를 통해 레드멘션의 또다른 이름인 '어스 블루크로우(Earth Bluecrow)'를 언급하며, 이 조직이 BPF도어 백도어의 새로운 컨트롤러를 활용해 아시아 지역의 통신 산업을 대상으로 스파이 활동을 수행했다고 분석했다. BPF도어와 더불어 웹셸 악성코드 공격이 함께 병행됐지만, 여러 공격자가 아닌 단일 조직이 범행을 감행했다는 것이 중론이다.

보안업계에서는 SK텔레콤 해킹 주체를 특정하기 위해, 악성코드가 최초로 설치된 시점에서 공격 시나리오를 전개하는 작업이 필요하다고 이야기한다. 악성코드 종류와 해킹 피해가 발생한 지점 및 구간을 단계별로 특정하는 과정에서, 국가 배후 조직의 흔적을 비교 분석할 만한 특징이 발견될 수 있기 때문이다.

민관합동조사단에 따르면, SK텔레콤에 최초로 악성코드가 설치된 시점은 2022년 6월이다. 한국인터넷진흥원(KISA)은 최초로 웹셸이 설치된 후 BPF도어 악성코드가 설치된 것으로 보고 있다. BPF도어 등 연쇄 공격이 이어진 시점은 조사 중에 있는데, 일부 관계자는 이 또한 웹셸과 유사한 시점에 침투했을 가능성을 배제할 수 없다고 본다. 위협인텔리전스 업계 관계자는 "BPF도어 소스가 무료로 공개된 후 보관(archive) 조치로 공유가 비활성화되기까지 1년여의 시간이 있었고, 이는 SK텔레콤 악성코드가 첫 유입된 시기와 겹친다"며 "BPF도어도 웹셸처럼 오랜기간 시스템 내에 은닉해 있다가 정보 탈취를 시도한다는 특징이 있어, 초기 단계에서부터 침투했을 가능성이 있다"고 말했다.

현재 소스코드 공유 플랫폼 깃허브(GitHub)에 'BPF도어'를 검색하면, 해당 페이지 상단에는 '이 저장소는 2023년 6월7일에 소유자에 의해 보관됐다'는 문구와 함께 현재는 공유가 불가능한 '읽기 전용'이라는 안내문이 떠오른다. BPF도어는 2022년 소스코드가 깃허브 등에 공개됐고, 이후 누구나 변종을 개발할 수 있게 된 바 있다.

한편 조사단을 비롯해 보안업계에서도 해킹 배후를 섣불리 판단하기 이르다는 데 공감대를 표하고 있다. 전략적으로 접근한 것은 맞으나, 배후를 특정하거나 단정하는 데 다양한 조사와 연구가 필요하다는 취지다. 조사단은 전날 SK텔레콤 해킹 주체 등이 확인된 바가 없다는 입장을 밝혔다. 같은 날 고학수 개인정보위 위원장은 취재진을 만나 "많은 해킹 사건의 경우 정확한 원인과 범인을 규명하기 어려운 경우가 많지만, 이번 사안의 경우 HSS서버에 있던 정보가 과금정보관리서버(WCDR)를 통해 싱가포르 인터넷주소(IP)로 넘어간 흔적이 있었다"며 "이 IP 주소 뒤에 누가 통제를 하고 있었는지 파악이 쉽지 않았다"고 전했다.