SK텔레콤에 대한 대규모 해킹이 3년 전부터 이뤄졌다는 정부 발표 이후 해킹 공격이 단순한 정보 탈취를 통한 돈벌이 차원을 넘어 특정 국가·집단을 배후로 한 사이버 전쟁의 예후일 수 있다는 진단이 나오고 있다. 해커가 SK텔레콤 서버 침투에 사용한 'BPF도어' 계열의 악성코드를 활용한 해킹 공격이 국내 다른 통신사를 대상으로도 시도된 정황이 확인되면서 국가 기간산업에 대한 보안 우려가 커지고 있는 상황이다.

20일 정보통신기술(ICT) 업계에 따르면 미국 정보 보안 기업 트렌드마이크로는 지난달 펴낸 보고서에서 지난해 7월과 12월 두 차례에 걸쳐 한국 통신사가 BPF도어 공격을 받았다고 밝혔다. 트렌드마이크로는 이 시기에 미얀마, 말레이시아, 이집트, 홍콩 등의 통신, 금융, 서비스 업종 기업들이 BPF도어 공격의 표적이 됐다고 덧붙였다. 이와 관련해 트렌드마이크로는 중국과 연계된 지능형 지속 공격(APT) 해커 집단인 '레드멘션'을 배후로 지목했다. 전문가들은 레드멘션의 활동이 주말이 아닌 평일에 이뤄지고 활동 시간대가 일정한 것을 감안할 때 국가 지원을 받는 공적인 조직일 가능성이 높다고 보고 있다.

트렌드마이크로는 "BPF도어는 사이버 스파이 활동을 위해 설계된 국가 후원형 백도어"라며 "(여기에 쓰인) 컨트롤러는 공격자가 침투한 네트워크 내에서 수평 이동을 가능하게 해 더 많은 시스템을 제어하거나 민감한 데이터에 접근할 수 있게 하고, 은밀한 방어 회피 기술을 갖추고 있다"고 말했다. '해커들의 뒷문'으로 통하는 BPF도어의 경우 APT 해커 그룹들이 정부, 통신사, 금융사 등 국가의 주요 기반 시설을 공격할 때 주로 사용하는 수법으로 알려져 있다. 우려되는 대목은 BPF도어 계열 악성코드가 SK텔레콤뿐만 아니라 다른 국내 통신사에도 이미 확산됐을 여지가 있다는 점이다.

이와 관련해 보안업계에서는 이번 사태와 유사한 국내 한 통신사의 해킹 사고를 상기해볼 필요가 있다고 강조한다. 워싱턴포스트(WP)는 지난해 2월 중국 공안부(MSP)와 계약을 맺은 중국 보안기업 아이순(i-Soon)이 8년간 3테라바이트(TB) 규모의 국내 통신사 통화기록을 탈취했다고 보도했다. 아이순은 중국 공안부 등 국가기관과 계약을 맺고 여러 국가의 정부 및 기업을 대상으로 대규모 해킹을 벌인 것으로 확인됐으며, 국내 통신사도 이 표적 중 하나였던 것으로 확인됐다.

정부 조사단은 지난해 국내에서 발생한 BPF도어 공격 대상을 확인할 수 없다는 입장이다. 시장에서는 '중국 소행설' '북한 연루설' 등 각종 낭설이 나오고 있지만 이번 사태가 민간기업 한 곳의 정보 탈취로 금전적인 목적을 위한 것이 아닐 가능성이 매우 높다는 의견이 지배적이다. BPF도어에 사용되는 악성코드가 오픈소스로 공개돼 공격자를 특정하기는 힘들다는 점에서도 정부 차원의 공조가 절실하다는 의견이 나온다.

임종인 고려대 정보보호대학원 교수는 "솔트 타이푼과 같은 중국계 해커 조직들은 돈이 목적이 아니라 통신이나 금융처럼 국가 기반 인프라에 침투하기 위한 목적으로 해킹을 시도한다"며 "정부 차원에서 T모바일, 버라이즌 등 중국 해커의 공격을 받았던 해외 통신사들과 공조해 피해 규모를 파악하고 공격자를 추적해야 한다"고 주문했다. 솔트 타이푼은 지난해 미국 주요 이통사인 버라이즌, AT&T, T모바일 등을 표적으로 삼아 해킹을 벌인 곳으로, 중국계 해커 그룹이다. 신승민 큐비트시큐리티 대표는 "BPF도어는 일반화된 해킹 기법으로 중국뿐만 아니라 북한 등에서 활용했을 가능성이 충분히 있다"며 "중국·북한에 더해 러시아 등의 해커 집단까지 다 가능성을 검토해야 한다"고 말했다.

한편 SK텔레콤은 유심 무상 교체 속도가 빨라지고 있다고 밝혔다. 전날 유심을 교체한 고객은 33만명으로 하루 기준 역대 최대치다.

[고민서 기자 / 정호준 기자]

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]