[비즈니스포스트] SK텔레콤 해킹 사태 초기 '김재섭의 뒤집어보기'에서 'SK텔레콤 정보보안사고? 나라 기간통신망이 해커 손에 넘어간 상태였는데'(4월29일)를 쓸 때는 '너무 오버한 거 아닌가' 하는 생각도 했다.

이어 ''유심 해킹' SK텔레콤, 2300만 가입자 보유 자격 없다'(4월29일)를 쓸 때는 '너무 과하지 않나' 고민도 했다.

하지만 지난 4일 과학기술정보통신부 민관합동조사단(이하 조사단)의 'SK텔레콤 침해사고 최종 조사결과 발표'(이하 조사결과) 브리핑 현장에 가보고는, 그동안 더 오버하지 않은 것을, 더 과하게 쓰지 않은 것을 후회했다.

현장기자로써, SK텔레콤 해킹 사태를 더 심각한 사안으로 판단해 적극적으로 취재하고 기사화하지 못한 점을 반성했다.  

'대한민국 1등 이동통신 사업자'로 군림해온 SK텔레콤의 통신망 보안 상태가 어찌 저리 '엉망'일까! 이 업체 임직원들의 통신망 보안 의식과 지식은 어찌 저리 '바닥'일까!

조사단 조사결과는 놀랍고 또 놀라웠다. 한심하기까지 했다.

이 날 브리핑에 참석한 기자들 사이에서도 "정부가 나서서, 안되면 이용자들이 나서서라도 '1등 이동통신사', 아니 통신 사업자 지위에서 끌어내려야 하는 것 아니냐"는 말이 오갔다.

네트워크와 서버(컴퓨터)를 구축해 사용하고, 고객 개인정보를 수집해 서버에 넣어두고 관리하는 기업이 해킹을 당하는 것은 있을 수 있는 일이다.

기업 정보보호 담당자들의 말을 들어보면, 해킹 공격과 방어는 심지어 어떤 때는 하루에도 몇번 씩 일어나기도 한다.

하지만 SK텔레콤은 이런 참작을 받을 자격이 없다. SK텔레콤은 결코 '해킹 피해자'가 될 수가 없기 때문이다. 

이 날 조사단 발표를 보면, SK텔레콤은 서버 2대를 포렌식(삭제된 파일 복원) 분석이 불가능한 상태로 조사단에 제출했다.

앞서 과기정통부는 정보통신망법에 따라 해킹 원인 분석을 위해 자료를 보전할 것을 명령했으나, SK텔레콤은 거꾸로 서버를 복원 불가능한 상태로 만들어 내놨다.

'무엇을 숨기기 위해 이렇게까지?' 의문이 든다.

또한 SK텔레콤은 자체 보안 규정에 따라 로그기록(누가 어떤 서버에 접속해 어떤 데이터를 열람했는지 등을 보여주는 자료)을 6개월 이상 보관해야 하지만, 4개월치만 보관돼 있었다.

조사단은 "(이 때문에) 중요 정보의 유출 여부를 면밀히 조사하는데 한계가 있었다"고 밝혔다.

더욱이 해킹 사건은 정보통신망법에 따라 인지 이후 24시간 이내에 신고해야 하지만, SK텔레콤은 이 시간을 넘겨 신고했다. 또 초기에는 한국인터넷진흥원(KISA) 등 보안 전문가들의 기술 지원 제안을 거부한 것으로 알려졌다.

'SK텔레콤은 무슨 이유로 해킹당한 사실을 늦게 신고했고, 한국인터넷진흥원 쪽의 기술 지원을 거부했을까' 의문을 갖게 한다.
  또 있다.

SK텔레콤은 2022년 2월23일 비정상 재부팅(꺼졌다 켜짐)이 발생한 서버 및 이와 연계된 다른 서버들을 점검하는 과정에서 악성코드에 감염된 사실을 발견하고도 '즉시 신고'를 하지 않았다.

당시 SK텔레콤은 2021년 12월24일에 이미 뚫린 것(악성코드 감염)으로 이번 조사에서 확인된 HSS 관리서버에 비정상 로그인 시도가 있었던 정황도 발견해 점검했다. 하지만 해당 서버 로그기록 6개 중 딱 1개 만 확인했다.

만약 SK텔레콤이 당시에 해킹을 당한 사실을 바로 한국인터넷진흥원에 신고해 점검을 받았다면, 이번 조사에서 드러난 것처럼 서버 28대에 악성코드 33종이 설치돼 전화번호와 식별번호(IMSI) 등 가입자 개인정보 9.82기가바이트(GB) 분량이 유출되는 사태로 커지는 것을 막았을 수도 있지 않았을까.

조사단은 "(당시 SK텔레콤의 미신고로) 정부가 조사를 통해 악성코드를 발견해 조치하는 것도 이뤄질 수 없었다"고 밝혔다.

SK텔레콤이 해킹당한 사실을 은폐하고, 서버를 초기화(정밀 분석을 불가능하게 만드는)하거나 로그기록을 일찍 삭제하는 등 사실상 '증거 인멸'로 간주될 수 있는 행위를 통해 정부 조사를 방해해온 게 명명백백히 드러난 셈이다.

결과적으로 SK텔레콤의 이런 불법 행위로 우리나라 기간통신망이 '해커 손에 넘어가는' 위험에 빠졌고, 2300만 가입자들은 개인정보 유출 피해와 함께 2차 피해 걱정에 밤 잠을 못이루는 시간을 보내야 했다.

유심 칩 교체를 위해 오픈런을 하고 대리점 앞에 긴 줄을 선 게 이를 반증한다. 

SK텔레콤의 평소 통신망 보안 상태도 '엉터리'였다.

외부 협력업체로부터 공급받은 소프트웨어가 악성코드 유입 경로로 이용됐다. 소프트웨어를 서버에 설치하면서 악성코드와 백도어 설치 여부조차 살피지 않은 것으로 드러났다.

또한 서버들을 관리하는 서버(관리서버)의 계정 정보(아이디와 비밀번호 등), 유심 복제에 활용될 수 있는 유심 인증키 값, 가입자들의 통화내역(언제 어디서 누구와 얼마 동안 통화했는지를 보여줌) 등을 암호화하지 않고 평문 상태로 저장·관리했다.

세계이동통신사업자연합회(GSMA)는 유심키 값의 암호화를 권고하고 있다. 조사단은 "SK텔레콤과 달리, KT와 LG유플러스는 암호화해 저장하고 있는 것으로 확인됐다"고 밝혔다.

해커 쪽에서 보면, SK텔레콤 통신망에 묶인 서버들을 자유자재로 드나들 수 있는 열쇠함과 함께, SK텔레콤 가입자 누가 누구와 통화했는지를 알 수 있는 '판도라의 상자'를 손에 넣은 꼴이다.

"SK텔레콤은 해커와 공범 취급을 당해도 할 말이 없을 것이다." 조사단 관계자 말이다.

조사단은 이런 조사 결과를 근거로 "SK텔레콤은 이번 해킹 사고에 대해 책임(과실)이 있고, 이용자에게 안전한 통신서비스를 제공해야 할 사업자 의무를 다하지 못했다"고 판단했다.

또한 사실상 '증거 인멸' 혐의로 경찰에 수사를 의뢰하고, 해킹받은 사실을 늦장 신고한 혐의에 대해서는 과태료를 부과하기로 했다.

동시에 조사단의 재발방지 대책에 대한 이행 계획을 7월 중 제출하라고 명령했다. 
 
하지만 어딘가 모르게 미진하다. 특히 갖가지 불법 행위로 우리나라 기간통신망을 위험 상태에 빠뜨리고 가입자들의 피해를 키운 것으로 드러난 SK텔레콤이 우리나라 1위 이동통신 사업자, 나아가 통신 사업자 자격이 있는지에 대한 정책적 판단이 없다.

류제명 과기정통부 차관은 이에 대해 "(전기통신사업법을 근거로 한 정책적 판단은) 서버를 초기화해 조사를 방해한 행위에 대한 경찰 수사 결과가 나와 고의성이 있는지 여부 등과 함께, SK텔레콤의 재발방지 대책에 따른 이행 계획(7월 제출)과 이행 여부 점검(11~12월) 결과 등을 보고 할 것"이라고 밝혔다. 김재섭 선임기자