SKT 턴 해커, '백도어' 악성코드 사용…"숨김 가능한 비밀문"

민관합동조사단, 29일 1차 조사 결과 발표
해커 '백도어' 악성코드 발견…"숨김 가능한 비밀문"
"유심보호서비스 가입하면 심 스와핑 범죄 방지 가능"
유출 정보 데이터 현황은 미공개…"아직 조사중"

▲SKT 유심 해킹 사고와 관련해 전국 T월드 매장에서 희망 고객을 대상으로 무상 유심 교체 실시 첫 날인 28일 서울 시내의 한 SKT 대리점에서 가입자들이 유심 교체 서비스를 받기 위해 대기하고 있다. SKT는 유심 무상 교체 실시 첫날 가입자 몰림 현상으로 인한 불편을 예상해 대기 시간 없이 유심을 교체할 수 있도록 온라인 예약 시스템(care.tworld.co.kr)을 운영한다. 조현호 기자 hyunho@ (이투데이DB)

정부가 SK텔레콤 유심(USIM) 정보 해킹으로 '단말기 고유식별번호'(IMEI)가 유출되지 않았다는 1차 조사 결과를 29일 발표했다. 당초 알려진 것과 달리 '심 스와핑' 범죄에 이용되는 필수 정보 중 하나가 유출되지 않았다는 설명이다. 조사 과정에서 일종의 비밀문인 'BPFDoor' 방식 악성코드도 발견됐다.

29일 과학기술정보통신부는 이러한 내용의 민관합동조사단 조사 1차 결과를 발표했다.

조사단은 SKT가 공격을 받은 정황이 있는 3개 종류 서버 5대를 조사했고 지금까지 △가입자 전화번호 △가입자식별키(IMSI) 등 USIM 복제에 활용될 수 있는 4종과 USIM 정보 처리 등에 필요한 SKT 관리용 정보 21종이 유출됐다고 밝혔다.

조사단은 이번 침해사고를 통해 단말기 고유식별번호(IMEI) 유출이 없는 것을 확인했다면서, 현재 SKT가 시행 중인 유심보호서비스에 가입하는 경우 심 스와핑이 방지된다고 강조했다. 심 스와핑이란 유심을 복제해 다른 휴대전화에 꽂아 금전 등을 탈취하는 범죄 행위를 말한다.

과기정통부 관계자는 "IMEI와 IMSI가 (동시에) 유출될 때 발생할 수 있는 심 스와핑 범죄에 대한 우려가 그간 컸는데, IMEI 유출은 명확히 아니다"라면서 "심 스와핑 범죄에 대한 불안감을 해소하고자 해당 내용을 발표하게 됐다"고 말했다.

조사단은 다만 이번 1차 발표에서 정확한 유출 데이터 규모와 현황은 조사하고 있다며 공개하지 않았다. 국회 과학기술정보방송통신위원회 위원장인 최민희 더불어민주당 의원이 SK텔레콤에서 제출받은 자료에 따르면, 지난 18일 오후 6시 9분 비정상적 데이터 동이 감지됐을 당시 이동한 데이터양은 9.7GB이다.

과기정통부 관계자는 "유출 데이터는 조사 결과를 복합적으로 봐야 하기 때문에 많은 데이터를 검증해야 한다"면서 "중간 발표를 얼마나 자주 할 지는 모르겠지만, LG유플러스 유출 당시 최종적으로 (결과 조사 결과) 나오는 데까지 두 달 걸렸다"고 말했다.

조사단은 침해 사고 조사 과정에서 침투에 사용된 'BPFDoor' 계열의 악성코드 4종을 발견했다. BPFDoor는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF(Berkeley Packet Filter)를 악용한 백도어(Backdoor)로, 은닉성이 높아 해커의 통신 내역을 탐지하기 어려운 특징이 있다.

정보기술(IT) 업계에 따르면 BPFDoor는 중국 해커 그룹이 개발한 악성코드로 알려져 있으나, 해당 소스 코드가 오픈 소스로 공개된 상황이라 공격자를 단정하기는 어렵다. 조사단은 피해 확산 방지를 위해 악성코드에 대한 25일 민간기업·기관 등에 관련 정보를 공유했다.

염흥열 순천향대 정보보호학과 교수는 "백도어라는 건 해커가 시스템에 침투하고 나서 다시 들어오려고 할 때 만들어 놓는 비밀문"이라면서 "통상 백도어는 인터넷 포트를 열어두고 해커의 명령을 받는데, BPFDoor는 인터넷 포트를 열어두지 않고 특정 '패탯'(소프트웨어 조각ㆍ개발자 은어)을 탐지해 명령을 수행하기 때문에 보안 시스템으로부터 숨기는 기능이 있다"고 설명했다.