최근 국내 최대 통신사인 SK텔레콤에서 발생한 유심 정보 유출 사태는 심각한 보안 위협을 드러내며 사회적으로 큰 파장을 일으키고 있습니다. 이 해킹 공격에 사용된 것으로 확인된 악성 코드는 ‘BPF 도어'(BPF Door)로 알려졌으며, 특히 이번 사건에서는 이미 해외 보안 업체로부터 관련 위협에 대한 사전 경고가 있었음에도 SK텔레콤 측이 이를 인지하지 못했다는 사실이 드러나면서 기업의 보안 대응 체계에 대한 비판이 제기되고 있습니다. SK텔레콤 서버에서는 이번 공격에 사용된 BPF 도어 계열 악성 코드 네 종류가 발견되었습니다.
이번 해킹의 핵심 수법인 ‘BPF 도어’는 시스템에 몰래 ‘뒷문’을 만들어 데이터를 빼돌리는 방식입니다. 이는 매우 고도화된 수법으로 평가받는데, 특히 탐지 프로그램을 회피하는 특성 때문에 발견이 어렵습니다. 백신과 같은 탐지 프로그램이 작동할 때는 활동을 멈추고 숨어 있다가, 정해진 특정 신호를 받으면 비로소 활성화되어 움직이는 ‘스파이’와 같은 방식으로 작동합니다. 악성 코드가 활성화되면 해커의 지시를 받아 외부로 정보를 빼돌리는 기능을 수행합니다.
BPF 도어의 작동 원리는 더 심층적입니다. 원래 BPF(Berkeley Packet Filter)는 네트워크 상에서 불필요한 정보(패킷)를 걸러내 네트워크 효율성을 높이는, 관리자급의 권한을 가진 기능입니다. BPF 도어는 이 관리자급 권한을 악성 코드를 통해 탈취하여 해커가 시스템에 자유자재로 들락날락할 수 있는 ‘뒷문’을 새로 만드는 것입니다. 관리자에게는 정상적으로 돌아가는 정보만 보여주고, 해커는 이 뒷문을 통해 특정 데이터를 마음대로 탈취할 수 있게 됩니다. 이 수법은 관리자가 해킹 사실을 늦게 인지하도록 하고 시스템이 정상적으로 운영되는 것처럼 위장할 수 있어 탐지가 어렵고 파급력이 큰 고도의 해킹 기법으로 분류됩니다.
BPF 도어는 중국 기반 해킹 그룹들이 자주 사용해 온 것으로 알려져 있습니다. 트렌드 마이크로 보고서에 따르면 이 수법은 특히 통신, 금융, 리테일 부문에 집중적으로 공격하는 데 사용되며, 한국, 홍콩, 미얀마, 말레이시아, 이집트 등에서 공격이 관찰되었습니다. 이번 SK텔레콤 사태는 이 보고서의 통신 및 한국 대상 공격과 연결됩니다. 다만, 최근 BPF 도어에 사용되는 소스 프로그램이 인터넷에 오픈 소스로 공개되면서 실제 공격 배후를 특정하기는 어려운 상황입니다. 해킹 기법 자체는 중국에서 시작된 것으로 알려져 있습니다.
이번 사태의 핵심적인 문제점 중 하나는 사전 경고의 무시입니다. 해외의 한 보안 업체는 이미 지난해 7월과 12월에 걸쳐 한국 통신업계를 대상으로 BPF 도어 악성 코드가 사용될 수 있음을 경고했었습니다. 그러나 SK텔레콤 측은 이러한 경고 사실을 전혀 인지하지 못했다고 밝혔습니다. 경고를 왜 몰랐느냐는 질문에 SK텔레콤 관계자는 “제가 보고받지 못했습니다. 죄송합니다”라고 답변했습니다. 이처럼 중국 해커가 자주 쓰는 방법임에도 불구하고 이에 대한 대비가 안 되었다는 점이 문제로 지적됩니다. 시스템에 깊숙이 침투하는 BPF 도어의 특성상, 이번 악성 코드는 상당히 오래전에 침투했을 가능성도 제기되지만, 정확한 침투 시점은 아직 확인되지 않고 있습니다. 악성 코드가 직원 감염 등 다양한 경로를 통해 중앙 서버에 심어졌을 가능성도 전문가들은 언급하고 있습니다. 자기도 모르게 악성 코드에 감염된 직원이 SKT 시스템(예: HSS)에 접속하는 과정에서 악성 코드가 옮겨졌을 수도 있다는 설명입니다.
이번 유심 정보 유출 사고 이후 SK텔레콤은 고객 피해 방지를 위해 다양한 조치를 취하고 있습니다. SK텔레콤은 대고객 발표문을 통해 “유심보호서비스로 해킹 피해 막겠습니다”, “믿고 가입해 주십시오”, “피해가 발생하면 SKT가 100% 책임지겠습니다”라고 강조했습니다. 또한, 유출된 정보(유심 복제 활용 가능한 정보 4종 및 관리용 정보 21종)를 활용한 불법 복제 유심 인증을 차단하기 위해 불법 복제 유심 인증 차단 시스템(FDS)의 민감도를 높여 운영하고 있으며, ‘유심보호 서비스’를 통해 다른 기기에서의 통신 서비스 접속을 차단하는 역할을 강화했습니다. 가장 직접적인 조치로는 고객 대상 유심 무상 교체를 진행하고 있습니다. 유심을 교체하면 유출된 기존 유심 정보가 무력화되는 효과를 얻을 수 있기 때문입니다. 다만, 초기에는 유심 재고가 부족하여 불편함이 따랐고, 이를 해결하기 위해 5월 중순까지 유심 포맷이 가능한 유심 소프트웨어 변경 방식의 도입을 준비 중입니다. SKT는 또한 고객에게 유심보호 서비스 가입을 강력히 권장하고 있으며, 초기 뉴스 기사 등에서 언급된 유심 PIN 번호 설정은 이번 사건 대응과는 관련이 적다고 공식적으로 안내했습니다. 유심 PIN 번호는 물리적 도난 방지를 위한 기능이며, 이번 해킹 방식과는 거리가 멀기 때문입니다. 5월 중에는 해외 로밍 중에도 유심보호 서비스를 이용할 수 있도록 준비하고 있다고 밝혔습니다. 4월 25일 기준 240만 명이던 유심보호 서비스 가입자는 방송일 3시 기준 950만 건을 돌파했으며, SKT는 전체 가입자 중 1300만~1500만 명 정도가 가입할 것을 권장하고 있습니다.
한편, 경찰은 이번 SK텔레콤 해킹 사건에 대해 내사를 진행하다가 22명 규모의 전담 수사팀을 가동하여 본격적인 수사에 착수했습니다. 경찰은 해킹에 내부 조력자가 있었을 가능성까지 포함한 모든 가능성을 열어두고 수사할 방침입니다. 전문가들은 내부 조력자 가능성은 낮게 보지만, 악성 코드가 직원 감염 등의 경로로 중앙 서버에 심겼을 가능성도 배제하지 않고 있습니다. 경찰은 이미 SK텔레콤 직원을 상대로 참고인 조사를 마쳤고, 현장 점검을 통해 확보한 디지털 증거를 분석 중입니다. 향후 국내외 공조 수사를 통해 해킹 경위와 배후를 철저히 규명할 계획입니다.
이번 사태는 기업의 핵심 시스템이 고도화된 악성 코드에 취약할 수 있음을 보여주며, 보안 업계의 중요한 사전 경고가 기업 내부에서 제대로 공유되고 대응되지 않았을 가능성을 시사합니다. 또한, 유출 정보가 직접적인 금전 피해보다는 유심 복제나 2차 인증 무력화에 사용될 수 있다는 점에서 금융권 등 다른 산업계에도 경각심을 일깨우며 추가 인증 수단 강화 등의 조치로 이어지고 있습니다. SK텔레콤은 주가가 크게 하락하는 등 기업 이미지 및 재무적 손실을 입었으며, 이번 사태를 계기로 기업의 보안 시스템과 더불어 외부 위협 정보의 수집 및 공유, 그리고 위기 대응 체계 전반에 대한 근본적인 점검이 시급하다는 목소리가 커지고 있습니다. 특히 정보 접근이 어려운 계층이 피해를 입을 가능성에 대한 우려도 제기되고 있습니다.
MBC 보도