SKT 해킹 사건은 단거리 경주의 끝이 아니라, 이제 막 출발선을 지난 마라톤의 시작일 뿐
최근 SKT 해킹 사건을 계기로, 국가 기간산업이 사이버공격의 주요 타깃이 되고 있는 현실이 다시금 뼈저리게 느껴지고 있다. 금번 SKT가 겪은 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격은 단발성이 아닌, 전 세계적으로 지속적이고 은밀하게, 매우 정교한 방식으로 진행되어 왔으며, 피해 국가들은 그 심각성을 인지하고 만반의 경계를 하고 있지만 역부족이다. 더욱 무서운 것은 침해당하고 있는지 자체를 대략 짐작은 하지만 어느 정도의 침해를 당하고 있는지를 가늠조차 못하고 있는 해외 통신사들도 실제 여럿 있다.
실제로 현장에서 마주한 일부 개발도상국의 통신사와 정부기관들은 자신들이 공격당하고 있다는 가능성은 인지하고 있으며, 매일같이 민감한 데이터와 계정 정보가 다크웹에 쏟아져 나오고 있는 현실에 놓여 있다. 탐지 역량 부족, 전문 인력 부재, 체계적인 대응 프로세스 미비 등으로 인해 자신들이 겪고 있는 피해의 실체조차 제대로 파악하지 못하고 있는 경우도 적지 않다. SKT 관련 건으로 인도네시아 및 필리핀의 통신사들의 보안 최고 책임자(CISO)로부터 사태에 대한 문의를 받기도 했을 정도로 해외 통신사들도 많은 관심을 갖고 있다. 자신들 통신사도 이미 당했거나 당하고 있거나 혹은 당할 것이라는 우려 때문이다.
그렇다고 해서 미국이나 일본과 같은 선진국들이 APT 공격의 예외라는 뜻은 아니다. 실제로 미국 국방부, 에너지부, 통신사, 클라우드 기업 등도 Volt Typhoon, UNC2630, APT41 등 다양한 국가지원 해킹 그룹들의 주요 표적이 되어왔다. 다만 차이라면, 일부 선진국들은 침해 사실을 보다 신속하게 인지하고 대응하며, 외부에 알리고 공동 방어 체계를 구축할 수 있는 인프라와 협업 구조가 존재한다는 점이다. 반면 개발도상국의 경우, 공격이 발생해도 언제, 어디서, 어떤 방식으로 무엇이 털렸는지 조차 모른 채 침묵 속에 침해가 축적되는 경우가 많다.
2020년과 2025년에 걸쳐 일본 최대 통신사 중 하나인 NTT는 해킹으로 인해 수천 개의 고객 및 기업 정보가 유출되는 데이터 침해를 겪었다. 공격자는 싱가포르에 위치한 서버를 통해 일본 내 인프라로 이동하며 내부 시스템을 장기간 탐색한 것으로 밝혀졌다. 2025년 2월에는 ‘Order Information Distribution System’에서 이상 징후가 발견되어 약 18,000개 기업 고객 정보가 노출된 것으로 확인되기도 하였다.
이러한 현실은 단순히 보안 인프라가 부족해서만이 아니라, APT 공격이라는 특성에 대한 이해 부족에서 기인한다. 일반적인 랜섬웨어나 피싱 공격과 달리, APT는 수개월에서 수년간에 걸쳐 은밀히 침투해 내부 시스템을 장악하고, 중요한 정보를 천천히 유출시키는 장기적이고 전략적인 공격 방식이기 때문이다.
대표적인 사례로는 중국계로 알려진 APT 그룹인 솔트 타이푼 (Salt Typhoon)과 볼트 타이푼 (Volt Typhoon)이 있다. 솔트 타이푼은 미군 방산업체나 통신 인프라를 겨냥해 클라우드 인증 정보, VPN 접속 기록 등을 빼내며 시스템 깊숙이 숨어든다. 볼트 타이푼은 ‘Living off the Land(LotL)’ 전략, 즉 외부 도구 없이 시스템에 이미 내장된 명령어와 기능만을 활용해 흔적을 남기지 않고 침투 및 활동하는 방식으로 정교한 공격을 수행하며 활동 흔적을 최소화한다. 이들은 공격 흔적을 지우고, 포렌식 도구를 회피하는 안티 포렌식(anti-forensic) 기법을 구사한다.
2024년 6월에는 싱가포르 최대 통신사인 싱텔(Singtel)이 볼트 타이푼의 공격을 받았다. 당시 싱텔은 싱가포르 사이버보안청(CSA) 및 정보통신미디어개발청(IMDA)과 협력하여 신속히 대응했고, 공식 발표에 따르면 데이터 유출이나 서비스 중단 없이 악성코드를 제거했다고 전해졌다.
여기서 주목해야 할 것은, APT 공격 자체가 정상 작동하는 시스템 속에 자신을 숨기고 활동하는 고도화된 방식이라는 점이다. 이들은 지금 당장 시스템을 무너뜨리는 것이 목적이 아니라, 최대한 조용하게, 오랜 시간에 걸쳐 잠복하며 내부 정보, 계정, 기밀자료 등을 탈취하는 것이 주요 목표다. 물론 공격자의 전략에 따라 장기적으로 축적한 정보와 접근 권한을 바탕으로 최종적인 교란이나 파괴 공격으로 전환되는 경우도 있을 수 있지만, APT 공격의 본질은 들키지 않고 최대한 많은 정보와 자산을 확보하는 데에 있다.
따라서 “서비스 중단이 없었다”거나 “데이터 유출이 확인되지 않았다”는 발표는, 아이러니하게도 APT 공격의 특성과 오히려 잘 맞아떨어지는 정황일 수 있으며, 그것이 곧 실제 피해가 없었다는 의미는 절대 아니다. 이 공격들은 애초에 피해가 겉으로 드러나지 않도록 설계되어 있으며, 그렇기 때문에 방어 측이 피해 규모를 축소 인식하거나 아예 인지하지 못한 채 넘어가는 일이 자주 발생한다. 즉 “데이터 유출이 확인되지 않았다”는 발표는 “유출이 없었다”는 의미가 아니라, 아직 유출 증거를 찾지 못했다는 뜻에 더 가깝다고 봐야 한다.
더불어, 싱텔의 사례는 단지 하나의 단면일 뿐이다. 중국계 APT 그룹들은 이미 전 세계 수많은 통신사들을 침투 대상으로 삼고 있는 정황이 여러 국제 보안 보고서와 수사 발표를 통해 드러난 바 있다. 미국의 Verizon, T-Mobile, AT&T, Lumen 등 최소 9개 통신사는 Salt Typhoon의 공격을 받아 고위 정치인의 통화 및 문자 기록이 유출되었다. 한 아시아 대형 통신사는 위버 앤트(Weaver Ant) 그룹에 의해 무려 4년간 침투당했으며, Zyxel 라우터와 웹쉘을 통해 지속적으로 내부 정보가 유출되었다. 또한 Salt Typhoon은 20개국 이상에서 Cisco 장비의 취약점을 악용해 광범위한 공격을 벌였으며, 미국 및 영국 통신 계열사도 대상에 포함되었다.
싱텔과 SKT 모두 “악성코드를 제거했다”고 발표했지만, APT 공격의 특성상 이는 공격 전체를 제거했다는 뜻과는 다르다. 많은 APT 공격은 별도의 악성 파일이 아닌 시스템 내장 도구를 이용해 정상 행위처럼 위장하며 활동하기 때문에, ‘딱 이게 악성코드’라고 특정해 제거하는 것 자체가 어려운 경우가 대부분이다. 따라서 “악성코드를 제거했다”는 공식 발표는 종종 탐지된 일부 행위나 흔적에 대한 대응일 뿐, 전체 공격자의 존재를 완전히 제거했다는 보장을 하는 것은 아니다. “악성코드를 제거했다”는 표현은 일반 대중과 언론을 위한 요약일 수는 있다.
이러한 공격은 단순한 침입이 아니라, 수년간 눈에 띄지 않게 유지되는 은밀한 사이버 첩보전에 가깝다. 사용된 기술은 중국발 변형 웹쉘, 메모리 기반 인젝션, 제로데이 취약점 악용, 은폐 기술 기반 지속성 확보 등 최신 공격기법의 집합체이며, 국가 안보, 외교, 정치인 사생활까지 영향을 미치는 중대한 사이버 위협이다.
중요한 것은, 이 공격들이 이번이 마지막이 아니라는 점이다. 공격의 주체가 중국이든, 북한이든, 혹은 다른 국가든, 중요한 사실은 이런 공격이 앞으로도 24시간 365일 지속될 것이라는 점이다. 최선의 경우는 그나마 ‘털렸다는 사실’이라도 인지할 수 있는 것이며, 최악의 경우에는 얼마나 털렸는지도 모른 채 시스템 전체가 무너지는 상황까지 갈 수 있다는 점을 우리는 분명히 인식해야 한다.
APT 공격이 계속하여 증가해오는 배경에는 구조적 요인이 자리하고 있다. 국가 전략 차원의 공격은 단순한 금전적 목적을 넘어서며, 방대한 시간과 자원을 동원할 수 있는 만큼 장기적인 침투가 가능하다. 반면 일반 사이버 범죄자들은 빠른 수익을 노리기 때문에 수개월에 걸친 정밀한 침투를 실행하기 어렵다. 이러한 차이는 공격의 양상과 위험도를 본질적으로 다르게 만든다.
한편, 금번 SKT 해킹의 배후가 중국이라든가 북한일 수 있다든가 혹은 그외 다른 여러가지 심증을 갖는 것은 합리적 의문일 수는 있으나 단정하는 것은 아니다. 다만 중국은 이른바 디지털 실크로드 전략을 바탕으로 아프리카, 동남아, 남미 등지에 화웨이 장비와 통신 인프라를 보급하며 데이터 주권에 직접적인 영향력을 행사하고 있다. 이는 단순한 인프라 투자가 아닌, 통신과 데이터 흐름에 대한 장악력 확대라는 전략적 시도이며, 이 역시 사이버 공간에서의 위협과 맞물린다.
이제 우리는 "사건 발생 시 대응"이라는 수동적인 자세에서 벗어나야 한다. 아무런 이상 징후가 없어 보이는 순간에도 정기적인 보안 점검은 선택이 아닌 필수다. 보안의 관점은 "당할 수도 있다"가 아니라, "이미 당하고 있을 가능성이 높다"는 전제로 바뀌어야 한다. 단지 우리가 아직 발견하지 못했을 뿐일 수 있다. 더 이상 보안은 IT 부서만의 업무가 아니며, 포렌식 결과 하나만을 근거로 안도해서도 안 된다. APT 공격에 대응하기 위해서는 상시 위협 감시 체계 구축, 다크웹 유출 정보 모니터링, 공격자들의 최신 전술(TTPs)에 대한 선제적 정보 확보가 필수적이다. 무엇보다 중요한 것은, 사이버 주권을 지키기 위한 기술적·정책적 투자를 국가적 차원에서 지속적으로 이어가는 일이다.
APT 공격은 멈추지 않는다. 그렇다면 우리의 대응도 멈춰서는 안 된다.
[글. 엔피코어 백세현 해외전략이사 / david.baek@npcore.com]
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[김승주 교수 칼럼] 통신사 해킹, '돈'이 아닌 '데이터'가 목적일 수도 있다](https://www.dailysecu.com/news/photo/202505/165880_194385_2035.jpg)
![[사설] 보안, 기업 존폐 문제로 다뤄야](https://img.etnews.com/news/article/2025/05/07/news-a.v1.20250507.fb83ceb040ea45d1b4b363c59b4437aa_T1.jpg)
![[ET시론]인공지능(AI)과 빅데이터로 여는 국립공원의 미래](https://img.etnews.com/news/article/2025/05/07/news-p.v1.20250507.acd6918831d44fa597f50c24c2a9f88e_P3.jpg)
![[김경환 변호사의 디지털법] 〈51〉사이버 복원력(Cyber Resilience) 정책 강화해야](https://img.etnews.com/news/article/2025/05/06/news-p.v1.20250506.db797240517a4e10b178ba154f34621e_P3.jpg)