SKT 해킹의 그림자…배후에 中·北 가능성 제기

악성코드 25종 중 24종이 ‘BPF도어’…中 해커 전용 수법
APT 드러나…2022년 침투, 3년 잠복 후 유심 정보 유출
전문가 “국가 주도 해킹 가능성…사이버 감시·마비까지 가능”

SK텔레콤 대규모 해킹 사고의 배후를 둘러싸고 중국과 북한 등 국가 기반 해커 조직의 연관 가능성이 급부상하고 있다. 주요 악성코드가 중국계 해커들이 자주 사용하는 ‘BPF도어’ 계열로 밝혀지고, 첫 악성코드 침투 시점이 2022년으로 거슬러 올라가면서 국가 배후설에 힘이 실리고 있다.

21일 보안 업계에 따르면, SKT 서버에서 발견된 악성코드 25종 가운데 24종이 중국계 해커 조직이 주로 사용하는 BPF도어 계열이었다. BPF도어는 리눅스 시스템의 네트워크 필터링 기능(BPF)을 악용한 은밀한 백도어(은밀한 침입통로)다. BPF도어는 공격자가 보안 탐지를 우회하고, 피해자의 시스템에 은밀하게 접근하거나 명령을 실행하는 데 사용된다.

BPF도어는 중국 기반 해커들이 주로 사용하는 수법이다. 글로벌 컨설팅 기업 PwC는 보고서를 통해 중국 지능형 지속 공격(APT) 해커 조직 '레드멘션(ReD Mension)이 중동과 아시아를 대상으로 수년간 BPF도어를 사용해 공격했다고 밝혔다. 미국 정보보안 기업 트렌드마이크로도 지난해 7월과 12월 두 차례 한국 통신사가 레드멘션으로부터 BPF도어 공격을 받았다고 분석했다.

특히 이번 SKT 침해 사태는 지능형 지속 공격(APT)의 전형적인 사례로 꼽힌다. APT는 특정 표적을 장기간에 걸쳐 정밀하게 감시하고 침투해, 은밀하게 중요 정보를 탈취하거나 파괴하는 고도화된 해킹 수법이다. 한 번으로 그치는 단발성 공격이 아니며, 국가 배후 해커 그룹이나 대형 사이버 범죄 조직이 상당한 시간과 비용을 들여 행하는 공격이다.

이번 사고에서도 첫 악성코드 침투 시점은 2022년 6월이다. 약 3년간 별다른 징후 없이 시스템 내부에 잠복해 있다가, 지난달 대량의 유심 관련 정보를 외부 유출한 것이다. 류정환 SKT 네트워크인프라센터장(부사장)은 "APT 공격이라는 게 들어오면 일단 생성을 하고 그 다음부터 해커들이 어떤 걸 유출해 나갈 때까지는 상당히 오랜 시간이 걸린다. 2년이 걸릴 수도, 3년이 걸릴 수도 있다"며 "그렇기 때문에 이러한 증적을 찾기가 상당히 어려웠다"고 설명했다.

중국뿐 아니라 북한 기반 해킹 조직 '라자루스', '김수키' 등의 소행 가능성도 거론되고 있다. 이미 SK네트웍스서비스, CJ올리브네트웍스 등 한국 기업은 북한 기반 조직으로부터 사이버 공격을 수차례 받은 바 있다.

한 보안업계 관계자는 "중국, 북한 등 공격자들이 사용하는 수법이 포착된다"며 "주로 국가 배후 공격자들"이라고 했다. 반면, 다른 보안업계 관계자는 "BPF도어는 이미 공개된 오픈소스이기 때문에 중국이나 북한 등 특정 위협 행위자를 지금 추정하기엔 현실적으로 어렵다"며 "배후를 파악하기 위해선 좀 더 상세한 조사 결과를 기다려봐야 한다"고 했다.

전문가는 국가 사이버전(戰) 가능성까지 전망했다. 임종인 고려대 정보보호대학원 교수는 "라자루스나 솔트타이푼과 등 조직은 민간 해커가 아니다. 국가에서 지원하는 사이버 군대다"라며 "이들은 돈을 노리고 해킹을 하는 게 아니라, 상대방의 시스템을 감시하고 유사시에 마비시키는 등 사이버 공격을 하기 위한 것"이라고 했다. 이어 임 교수는 "이건 안보 위협이다. 현재 미중 냉전구도 하에서 한국은 미국의 동맹국이기 때문에, 중국의 공격 대상이 될 수 있다"고 했다.

SKT 침해 사고에 대해 서울경찰청 사이버수사대는 해킹 배후를 추적하고 있다. 이들은 시스템 내 서버, 로그 기록 등을 분석 중이다. 경찰 관계자는 "수사 진행 중인 상황"이라고 했다. 과기정통부는 보도설명자료를 내고 "민관합동조사단은 서버 감염여부, 자료유출 여부와 규모, 보안 취약점 분석 등을 목적으로 조사를 진행하고 있으며, 해킹의 주체 등의 조사는 수사기관에서 담당하고 있다"고 했다.