SKT 해킹 민관조사단, 최수진 의원에 보고…조사단 관계자 "확인 중인 사안"
(서울=연합뉴스) 조성미 기자 = SK텔레콤[017670] 해킹 사건에서 최근 추가로 발견된 악성코드 8종이 사건 초기 악성코드들이 발견됐던 홈가입자서버(HSS) 3대에서 발견된 것으로 파악됐다.
추가 악성코드가 공개되며 기존에 공격받은 서버들 외에 다른 곳에서도 개인정보 유출이 있었던 것 아니냐는 우려가 커졌지만, 이는 사실이 아닌 것으로 보인다.
이 사건을 조사 중인 민관 합동 조사단이 7일 국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)에 밝힌 바에 따르면 최근 추가 공개된 SKT 공격 악성코드 8종은 HSS 서버 3대에서 나왔다.
이들 서버 3대는 SK텔레콤이 가입자 정보를 분산한 서버 총 14대 가운데 일부로, 최초 공개된 악성코드 4종 역시 이들 서버에서 발견된 바 있다.
다만, 조사단 관계자는 악성코드 8종의 발견 장소에 대해 "아직 최종 확인 중인 사안"이라며 말을 아꼈다.
민관 합동 조사단은 최근 추가로 공개된 악성 코드 8종의 유입 시점과 경위에 대해 포렌식 중으로 코드 생성 시점에 대해서도 확인 중이라며 밝히지 않았다.
악성 코드 생성 시점은 SKT 내부망에 침입한 해커의 활동을 유추할 수 있는 중요한 단서로 꼽힌다.
SKT가 서버 운영에 사용한 공개 운영체제(OS) 리눅스에서는 조회 명령어를 통해 악성 파일 및 코드 생성 날짜를 조회할 수 있어 현장 포렌식으로 악성 코드를 채증한 주체는 생성 날짜·시간을 파악했을 것으로 보안업계는 추정한다.
다만, 해커가 위장을 목적으로 '안티 포렌식' 기법을 통해 코드 잠입·생성 시점을 조작할 가능성은 존재한다.
아울러 악성 코드 12종이 잇따라 발견된 HSS 서버 3대가 서로 연결된 것인지, 각각의 폐쇄망을 통해 분리된 것인지 여부도 사건 파악에 중요한 요소로 꼽힌다.
서버가 내부망 등을 통해 연결돼 있었다면 악성 코드의 측면 이동(래터럴 무브먼트)이 가능하기 때문이다.
SK텔레콤은 해킹된 서버들이 폐쇄망으로 운영됐다고 밝혔는데, 각각의 서버를 외부와 분리하는 역할을 하는 VPN(가상사설망) 취약점을 통해 해킹 공격이 이뤄졌다는 추정도 나오고 있다.
SKT는 과방위 소속 김장겸 의원(국민의힘)에게 서버의 VPN 장비로 이반티(Ivanti)라는 해외 제품과 시큐위즈라는 국산 장비를 사용했다고 설명했다.
보안업계에서는 SK텔레콤 공격에서 이반티(Ivanti)의 VPN 취약점을 노렸다는 추정이 제기되며 이반티 VPN의 취약점을 주로 활용하는 중국 기반 해커 그룹의 소행으로 보는 시각이 있다.
csm@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>