SK텔레콤 CISO, 네트워크 보안 통제권 갖고 있지 않아
스텔스형 악성코드 BPFDoor, 이미 지난해 국내 대형 통신사 해킹공격에 사용돼
통신 뿐 아니라 국내 기업 보안 거버넌스 전면 재구성 필요
2025년 4월 18일 오후 6시 9분, SK텔레콤(SKT)은 자사 네트워크 인프라에서 비정상적인 트래픽을 탐지하며 보안 사고의 전조를 인지했다. 이후 같은 날 오후 11시 20분경 악성코드 감염 사실을 확인했고, 4월 19일 오후 11시 40분에는 음성인증장비(HSS)에서 유심 관련 정보가 외부로 유출된 정황을 포착했다.
해커는 약 9.7GB에 달하는 데이터를 외부로 탈취했으며, 유출된 정보에는 가입자 전화번호, 국제이동통신가입자식별번호(IMSI), 가입자 인증키(Ki) 등 유심 복제에 악용될 수 있는 민감한 정보가 포함돼 있었다. 이로 인해 피해 대상은 SK텔레콤과 해당 망을 사용하는 알뜰폰 가입자를 포함한 약 2,300만 명에 달하는 것으로 파악됐다.
◆SK텔레콤 CISO는 네트워크 보안 통제권을 갖고 있지 않아
한편 보안 전문가들은 이번 사고의 본질적인 원인에 대해 단순한 기술적 허점이 아닌, SK텔레콤 내부 정보보호 조직의 구조적 문제와 최고정보보호책임자(CISO)의 권한 부재로 보고 있다.
SK텔레콤은 보안 거버넌스가 조직 내에 제대로 자리 잡지 못한 구조적 한계를 안고 있었다. 최고정보보호책임자(CISO)는 명목상 보안 총괄 책임자였지, 실제 네트워크(NW) 보안에 대한 실질적 권한을 갖고 있지 않았다. 사고 당시까지, 실질적인 네트워크 보안 업무는 네트워크운용본부 산하의 인프라보안팀이 담당하고 있었다.
이러한 구조 속에서 CISO는 전통적인 사내 IT보안, 예컨대 티월드와 같은 IT서비스 보안과 개인정보, 스팸·보이스피싱 대응 정책 등 일부 영역에만 관여할 수 있었다. CISO 직속으로는 정보보호팀, 개인정보보호팀, 정책대응팀 등 3개의 보안팀이 존재하지만, 이들 역시 네트워크 기반 보안 업무와는 거리가 먼 정책적 역할에만 집중되어 있었다고 볼 수 있다.
즉 CISO가 네트워크 보안에 대한 현황조차 파악하지 못하고 있었고, 네트워크를 관리하는 본부가 별도로 존재하기 때문에 유기적이고 조직적인 정보보호 운영이 이루어질 수 없는 가운데 보안에 균열이 생겼을 것으로 보여진다. 또 사고 발생시 책임 주체가 명확하지 않기 때문에 책임 전가 구조가 형성되고 있는 것도 문제로 지적되고 있다.
SK텔레콤은 보안 책임을 분산시키는 방식으로 구조를 운영함으로써, 관련 법령이 요구하는 ‘통합적 보안 대응 체계’를 실질적으로 구축하지 못한 셈이다.
결국 이와 같은 조직 내 보안 책임의 이원화, 정보 단절, 실질 권한의 부재는 단지 관리 미흡을 넘어 이번과 같은 대형 사고로 이어질 수밖에 없었던 것으로 보인다.
전문가들은 “CISO는 이름뿐인 자리였고, 실질적 보안 통제는 하지 못한 상태에서, 사고 발생 시 누구도 책임을 지지 않는 구조였다”고 지적하고 있다.
◆BPFDoor 악성코드, 이미 지난해 국내 대형 통신사 해킹공격에 사용돼
한편 스텔스형 악성코드에 대한 대응 방안이 필요하다는 목소리가 높다. 이번 공격에 사용된 악성코드는 BPFDoor로, 2021년 PwC 위협 분석 보고서를 통해 처음 세상에 알려진 고도화된 백도어 악성코드이다. 이 악성코드는 중국계 APT 그룹인 Earth Bluecrow(일명 Red Menshen)이 사용하는 것으로 밝혀졌으며, 리눅스 시스템을 겨냥해 광범위한 사이버 첩보 활동에 활용되어 왔다.
BPFDoor는 리눅스 커널의 Berkeley Packet Filter(BPF)를 악용한다. BPF는 운영체제가 패킷을 처리하기 전, 네트워크 인터페이스 카드(NIC)에서 가장 먼저 패킷을 가로채 필터링하는 기능을 가진 커널 수준의 기능이다. 이를 통해 BPFDoor는 방화벽이나 소켓 열림 여부와 무관하게 네트워크를 직접 들여다보고 데이터를 송수신할 수 있어, 기존 탐지 시스템을 우회하는 것이 가능하다.
이 악성코드는 실행 시 haldrund.pid 파일을 생성해 중복 실행을 방지하고 /dev/shm 경로에 복제본을 남긴다. 또한 프로세스 이름을 위장하고, 명령어 히스토리 기록을 방지하며, 로그 생성도 피할 수 있도록 설계됐다. TCP, UDP, ICMP를 포함한 다양한 프로토콜을 활용해 통신을 시도하며, 일반적인 패턴 기반 탐지 체계를 쉽게 피할 수 있다.
트렌드마이크로의 2024년 분석에 따르면, BPFDoor는 아시아와 중동 지역의 주요 통신사를 타깃으로 사용되었으며, 지난해 한국 대형 통신사 한 곳도 이 악성코드의 실제 피해 대상에 포함된 것으로 확인됐다. 당시에도 유심 인증 장비가 주요 공격 대상이었고, 공격자는 내부 시스템에 장기간 은닉하며 지능적으로 데이터를 수집한 것으로 분석됐다.
김승주 고려대학교 교수는 BPFDoor의 작동 방식을 설명하며 “이 악성코드는 일반적인 네트워크 흐름에서 운영체제 커널과 소켓, 방화벽을 거치기 이전에 작동하기 때문에, 포트가 열려 있든 아니든 관계없이 정보를 수신하고 송출할 수 있다”고 밝혔다. 김 교수는 또한 “일반적인 점검 도구를 우회할 수 있어 탐지가 어렵고, 기업들이 네트워크 보안에는 집중하면서 서버 보안은 상대적으로 소홀히 해온 점이 공격자에게 기회를 준 것”이라며, 이를 대표적인 ‘스텔스형 악성코드’로 분류했다.
최근 사이버보안 업계에서는 BPFDoor와 같은 스텔스형 악성코드가 기업 보안의 가장 큰 위협 중 하나로 꼽히고 있다. 이들 악성코드는 커널 수준에서 작동하며 보안 솔루션이 탐지하기 힘든 통신 경로를 사용한다는 공통점을 갖고 있다. 특히 서버단 보안에 대한 관리가 미흡한 기업에서는, 공격자가 수개월에서 수년간 은닉하며 민감한 정보를 지속적으로 유출하는 사례가 빈번히 발견되고 있다.
이에 따라 전문가들은 네트워크 보안뿐 아니라 서버 내부에 대한 탐지와 대응 체계를 고도화할 것을 주문하고 있다. EDR(Endpoint Detection & Response) 및 XDR(eXtended Detection & Response), MDR과 같은 실시간 이상행위 탐지 시스템의 도입이 필요하며, 커널 기반 접근 제어, 메모리 무결성 검증, 통신 로그의 상시 모니터링 등 다계층적 대응 전략이 병행되어야 한다는 지적이 이어지고 있다.
◆통신 뿐 아니라 전체 기업 보안 거버넌스 전면 재구성 필요
SK텔레콤 해킹 사태는 단순한 악성코드 침투가 아닌, 기업 내부 보안 책임 구조의 불균형과 통합 거버넌스의 부재가 불러온 복합적 실패 사례라고 봐야 한다. CISO의 역할은 명목상 존재했으나, 실제로는 핵심 설비와 인프라에 대한 통제력이 없었고, 네트워크 운영 조직과 정보보호 조직이 분리된 상태에서 실시간 보안 대응이 이뤄질 수 없는 구조였다. 이러한 문제점을 가진 기업들이 여전히 다수 존재하고 있다는 것이 국내 현실이다.
전문가들은 이제 기업이 정보보호 조직을 전면 재구성하고, 핵심 보안 기능을 외주나 타 부서에 의존하지 않고 내재화하는 것이 시급하다고 지적한다. 아울러 정보보호 예산을 눈에 보이는 투자로만 계산할 것이 아니라, 인적 자원과 체계적인 훈련, 내부 통제 시스템 개선까지 포함하는 ‘총체적 보안 비용’ 개념으로 전환해야 한다는 주문도 함께 나오고 있다. 이 사건은 단지 SK텔레콤의 문제만이 아니라, 국내 전체 기업들에 경고등을 울린 구조적 보안 위기 신호로 받아들여야 한다는 목소리가 높다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
