제로트러스트 보안 원칙이 기업 전반에 뿌리내릴 수 있도록 보안 인식 전환과 제도 개선 필요
6월 12일, 더플라자호텔서울에서 열린 데일리시큐-아카마이코리아(대표 이경준) 공동주최 ‘SKT 정보유출 사고와 기업의 대응 방안’ CISO 조찬세미나에서 염흥열 순천향대 정보보호학과 명예교수이자 한국개인정보보호책임자협의회 회장이 관련 주제 강연을 진행했다. 이날 행사에는 주요 금융권 CISO 20여 명이 참석해, 최근 벌어진 SKT 개인정보 유출사건을 중심으로 보안 위협과 기업의 대응 전략을 공유하는 시간이 마련됐다.
SKT 사고, 통신망 핵심인 HSS 서버 해킹으로 파악
염흥열 회장은 이번 SKT 해킹 사건의 핵심은 이동통신망의 심장인 HSS(Home Subscriber Server) 서버가 침투당했다는 점에 주목했다. 그는 “유심카드에 저장된 IMSI(가입자 식별자), 인증키(Ki), ICCID(유심 고유정보)와 단말기 식별정보인 IMEI가 함께 유출된 것으로 파악된다”며 “이는 가입자 인증 프로토콜인 AKA 절차의 핵심 정보가 외부에 노출된 것”이라고 지적했다.
그는 LTE와 5G 환경에서 이 정보들이 어떤 방식으로 인증과 암호화 과정에 사용되는지 설명하며, 4G에서는 평문 IMSI 전송으로 인한 프라이버시 침해 우려가 있었고, 5G에서는 SUCI(암호화된 IMSI) 방식이 적용돼 보완이 이루어졌지만, 이번 SKT 사고는 여전히 구형 시스템과의 연계 취약점을 드러낸 사건이라고 분석했다.
웹셀-백도어 설치 통한 침입, IMEI 유출 가능성도 제기
강연에서는 민관합동조사단의 조사 결과를 바탕으로, 공격자는 SKT 내부 서버에 웹셸(web shell)을 설치하고 BPFDoor 백도어를 운영한 정황이 드러났다고 설명했다. 염 회장은 “웹셸은 특정 디렉토리 설정 오류와 실행 권한 설정 부재를 통해 업로드됐고, 이는 시스템 관리자 권한 탈취로 이어진 것으로 보인다”고 말했다.
이어 “IMEI 정보는 1차 발표에서는 유출되지 않았다고 했으나, 2차 조사에서는 EIR 장비 외 서버에서 약 29만 건의 IMEI가 존재했던 정황이 발견돼 유출 가능성을 배제할 수 없게 됐다”고 덧붙였다. 그는 이런 상황에서 기업은 최악의 시나리오를 가정하고 보안 대책을 마련해야 한다고 강조했다.
유심 복제 통한 2차 공격 우려...SKT FDS 시스템이 관건
염 회장은 유출된 정보를 기반으로 한 유심 복제와 복제폰을 통한 통신망 불법 접속 가능성도 경고했다. 그러나 SKT가 시행한 대응조치 중 '유심 보호 서비스'와 'FDS(이상징후 탐지 시스템)'를 통해 어느 정도 위험을 차단할 수 있다고 설명했다.
이어 “유심 보호 서비스는 IMEI와 IMSI 정보를 매핑해, 둘이 일치할 경우에만 통신망 접속을 허용한다”며 “IMEI가 유출되지 않았거나, 다른 정보와 결합이 불가능할 경우, 복제폰은 SKT 네트워크에 접속하기 어려운 구조”라고 설명했다. 다만, “이는 FDS 시스템이 정상 작동하고 유심 보호 서비스에 오류가 없다는 전제 하에서만 유효하다”고 덧붙였다.
"기업의 자율보안체계·CISO 권한 강화가 핵심"
강연 후반부에서 염 회장은 이번 사건의 본질적인 교훈으로 '상시적 보안 관리 체계' 구축의 중요성을 강조했다. 특히 폐쇄망에서도 웹셸 및 백도어 설치가 가능했음을 예로 들며, “폐쇄망이라고 해서 안전하다는 생각은 이번 사고로 깨졌다”고 지적했다.
이어 “CISO와 CPO의 실질적인 권한 강화, CEO 책임 명문화, ISMS-P 인증의 실효성 확보, 모의해킹 확대, 방화벽 로그의 상시 분석 등이 병행되어야 한다”며 “기업이 보안 리스크를 실존하는 경영 리스크로 인식하고 선제적 투자를 감행해야 한다”고 조언했다.
또한 그는 개인정보보호위원회와 협업해 추진 중인 정책으로, 유심정보 암호화 의무화, 개인정보 암호화 시 과징금 감경 인센티브, 일정 규모 이상 기업의 CPO/CISO 신고제 도입 등을 언급하며 제도적 보완도 시급하다고 밝혔다.
이날 강연은 기술적 분석을 넘어, 보안 거버넌스와 책임성 강화, 그리고 정부와 민간 간 협력의 방향성을 제시한 의미 있는 자리로 평가됐다. 참석한 금융권 CISO들도 “현실적인 리스크 시나리오와 구체적 대응 전략을 접할 수 있어 유익한 시간이었다”고 평가했다. 염 회장은 끝으로 “제로트러스트 보안 원칙이 기업 전반에 뿌리내릴 수 있도록 보안 인식 전환과 제도 개선이 동시에 추진되어야 한다”고 강조했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
