SK텔레콤 해킹 사건과 관련해 최근 추가로 발견된 악성코드 8종이 기존에 공격받았던 홈가입자서버(HSS) 3대에서 나온 것으로 확인됐습니다.

이는 민관 합동조사단이 어제 국회 과학기술정보방송통신위원회 소속 국민의힘 최수진 의원에게 보고한 내용입니다.

추가 악성코드가 공개되며 기존에 공격받은 서버들 외에 다른 곳에서도 개인정보 유출이 있었던 것 아니냐는 우려가 커졌지만, 이는 사실이 아닌 것으로 보이는 대목입니다.

해당 서버는 SKT가 고객 정보를 분산 저장한 14대 중 일부로, 앞서 발견된 악성코드 4종 역시 같은 서버에서 나왔습니다.

이번에 발견된 악성코드의 유입 시점과 생성 경위는 아직 포렌식 분석 중이며, 코드 생성 시점은 해커의 내부망 침입 시기와 활동 범위를 가늠할 중요한 단서로 꼽힙니다.

리눅스 운영체제 특성상 생성 일자를 확인할 수 있지만, 해커가 ‘안티 포렌식’ 기법을 통해 시간 정보를 조작했을 가능성도 제기되고 있습니다.

또한, 악성코드가 발견된 서버들이 서로 연결돼 있었는지 여부도 주목되고 있습니다.

폐쇄망 운영이라고 밝혔지만, 실제로는 VPN(가상사설망) 장비의 취약점을 노린 측면 이동(lateral movement) 가능성이 제기됩니다.

SK텔레콤은 해당 서버에 이반티(Ivanti)와 시큐위즈 제품을 사용했다고 밝혔으며, 이 가운데 이반티의 VPN 취약점을 이용한 해킹 정황이 드러나면서 중국 기반 해커 그룹의 소행이라는 관측도 나오고 있습니다.

조사단은 현재까지 악성코드 유입 범위가 추가 서버로 확산되지는 않은 것으로 보고 있지만, 정확한 감염 경로와 시점 확인까지는 시간이 더 걸릴 전망입니다.

이번 사건에서 총 12종의 악성코드가 같은 서버에서 발견되며, 서버 간 연결 구조와 외부 접근 경로에 대한 보다 정밀한 조사가 필요하다는 지적이 이어지고 있습니다.

#skt #악성코드 #해킹

연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

이경태(ktcap@yna.co.kr)