SK텔레콤 내부망이 3년 넘게 해커에게 잠식된 것도 올해 '개인정보 잔혹사'의 큰 이슈였다. 기본적인 보안 관리조차 방치된 사이, 통신코어를 포함한 핵심 시스템이 뚫렸고 수천만 건의 민감 정보가 고스란히 빠져나갔다. 정부 조사 결과 SKT는 유심(USIM) 인증키를 평문으로 저장하고 8년 전 배포된 취약점 패치조차 적용하지 않는 등 구조적 보안 실패가 누적돼 있었다.

4일 <메트로경제 신문> 취재에 따르면 정부 조사 결과, SKT 내부망 침투는 2021년 8월 처음 발생한 것으로 확인됐다.

개인정보보호위원회(개보위)와 과학기술정보통신부 민관합동조사단의 발표를 종합하면, 침투한 공격자는 관리자 계정을 탈취해 코어망 서버에 접속한 뒤, 리눅스 운영체제(OS)의 오래된 취약점을 악용해 최고 관리자 권한(Root)을 획득했다.

이후 해커는 'BPF도어' 등 24종의 악성코드와 웹셸을 서버 23대에 심어두고 장기간 잠복했다. BPF도어는 3년 전 처음 보고된 백도어 프로그램으로, 글로벌 보안업계는 이를 중국 해커조직 '레드 멘션(Red Menshen)'의 소행으로 분석하고 있다. 이들은 통신사 시스템 깊숙이 침투해 특정 인물의 통화·위치·행동 패턴을 장기 추적하는 고도화된 공격 그룹으로 알려져 있다.

피해 규모는 막대했다. 유출된 정보는 가입자 식별키(IMSI) 기준 총 2695만7749건에 달한다. 여기에는 이름, 생년월일, 전화번호, 단말기 고유식별번호(IMEI)뿐만 아니라, 유심 복제에 치명적인 인증키(Ki, OPc)까지 포함됐다. 당초 정부는 "IMEI 저장 서버는 감염되지 않았다"고 발표했으나, 2차 정밀 포렌식 결과 통합고객인증 서버(ICAS) 등에서 대규모 유출 흔적이 추가로 확인되며 말을 뒤집었다.

개보위는 SKT의 허술한 보안 관리 실태를 강하게 질타했다. 가장 심각한 문제는 '평문 저장'이었다. SKT는 유심 무단 복제를 막기 위해 반드시 암호화해야 할 유심 인증키 등 민감 정보를 암호화하지 않고 평문 상태로 서버에 저장했다. 경쟁 통신사들이 해당 정보를 암호화해 관리하는 것과 대조적이다.

또한, 해킹의 통로가 된 '더티 카우' 취약점은 2016년 보안 패치가 배포됐음에도 SKT는 사고 발생 시점까지 업데이트를 적용하지 않았다. 심지어 2022년 유심 복제 이슈가 불거졌을 때도 적절한 조치를 취하지 않은 것으로 드러났다.

정보보호 최고책임자(CPO) 조직의 구조적 문제도 지적됐다. SKT의 CPO는 주로 웹·앱 서비스 등 IT 영역에만 권한이 한정되어 있어, 이번 사고가 발생한 인프라(네트워크) 영역의 개인정보 처리 실태는 제대로 파악조차 하지 못하고 있었다. 사고 인지 후 법정 기한인 72시간 내에 유출 사실을 통지하지 않고 지연한 점도 법 위반 사항으로 적발됐다.

SKT는 사태 수습을 위해 임원 수를 30% 감축하고 CEO 직속 '통합보안센터'를 신설하는 등 고강도 쇄신안을 내놨다. 그러나 개인정보위 분쟁조정위원회가 권고한 '1인당 30만 원 배상안'에 대해선 불수락 의사를 밝혔다. 해당 조정안을 수용할 경우 배상 대상이 전체 가입자로 확대되어 최대 7조 원대 비용이 발생할 수 있다는 우려 때문이다.

IT업계는 이번 사태를 단순한 해킹 사고가 아닌, 기업의 보안 불감증이 빚어낸 '예고된 인재(人災)'라고 입을 모은다. 이번 사태가 단순한 시스템 침투가 아니라, SKT 내부의 오랜 방치와 구조적 결함이 총체적으로 누적된 결과라는 것이다.

익명을 요구한 보안업체 관계자는 "리눅스 커널의 '더티 카우' 취약점은 보안업계에서는 교과서에 나올 정도로 유명하고 오래된 구멍"이라며 "통신 코어망 서버에서 이를 8년이나 방치했다는 건 사실상 '해커들에게 들어오라'고 대문을 열어둔 것과 다름없다"고 꼬집었다.