(서울=NSP통신) 이복현 기자 = 과학기술정보통신부(장관 유상임, 이하 과기정통부)가 SK텔레콤(017670) 침해사고 민관합동조사단(이하 조사단)의 조사 결과 및 SK텔레콤의 이용약관 상 위약금 면제 규정에 대한 검토결과를 오늘(4일) 발표했다.
지난 4월18일 23시 20분, SK텔레콤은 평소 대비 대용량 데이터가 외부로 전송된 정황을 인지하고, 4월20일 16시 46분, 한국인터넷진흥원(원장 이상중)에 침해사고를 신고했다.
과기정통부는 그동안 SK텔레콤의 유심정보 유출을 중대한 침해사고로 판단하고 4월23일 민관합동조사단을 구성해 피해현황, 사고원인 등을 조사했다.
조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 디지털 증거수집(포렌식) 분석 결과, BPFDoor 27종을 포함한 악성코드 33종을 확인했다. 구체적으로 BPFDoor 27종, 타이니쉘 3종, 웹쉘 1종, 공개 소프트웨어(오픈소스) 악성코드 2종(CrossC2 1종, 슬리버 1종) 등 이었다.
유출된 정보는 ▲전화번호를 비롯해 ▲가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82 기가바이트(GB), 가입자 식별번호 기준 약 2696만건이었다.
다만 조사단은 감염서버 중 단말기식별번호(IMEI), 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했으나 정밀 분석 결과 방화벽 로그기록이 남아있는 기간에는 자료유출 정황이 없는 것을 확인했다. 또 악성코드 감염시점부터 로그기록이 없는 기간에는 유출여부를 확인하는 것이 불가능했다고 밝혔다.
◆어떻게 침입했나 = 공격자는 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버A에 접속 후 다른 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드(CrossC2)를 ’21년 8월6일에 설치했다.
당시 서버A에는 시스템 관리망 내 서버들의 계정 정보(ID, 비밀번호 등)가 평문으로 저장돼 있었으며 공격자는 동 계정정보를 활용해 시스템 관리망 내 타 서버(B)에 접속한 것으로 추정된다. 또 서버 B에는 코어망 내 음성통화인증(HSS) 관리서버 계정정보가 평문으로 저장돼 있었으며, 공격자는 동 계정정보를 활용해 음성통화인증 관리서버에 접속(’21.12.24) 후 음성통화인증 관리서버 및 음성통화인증에 BPFDoor를 설치했다
더불어 공격자는 시스템 관리망을 통해 고객 관리망 내 서버에 접속한 것으로 추정되며 서버 접속 후, 악성코드(웹쉘, BPFDoor)를 설치(’22.6.15, 6.22)했다.
공격자는 초기 침투과정에서 확보한 계정 정보를 활용해 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치했다(’23.11.30∼’25.4.21).
이후 공격자는 25년 4월18일 음성통화인증 3개 서버에 저장된 유심정보(9.82기가바이트(GB)를 시스템 관리망 내 외부 인터넷 연결 접점이 있는 서버 C를 거쳐 유출했다.
◆위약금 면제 어떻게 되나 = 특히 SK텔레콤 위약금 면제 규정 적용 여부와 관련해 ‘위약금을 면제해야 하는 회사의 귀책사유에 해당한다’라는 입장을 밝혔다.
과기정통부는 법률자문 등을 검토한 결과 “▲이번 침해사고에서 SK텔레콤의 과실이 발견된 점 ▲SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 이번 침해사고는 SK텔레콤 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다”라고 밝혔다.
다만 과기정통부는 이러한 판단은 SK텔레콤 약관과 이번 침해사고에 한정되며 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적인 해석이 아니라고 덧붙였다.
◆재발방지 대책은 = 조사단은 조사를 통해 SK텔레콤의 정보보호 체계에 문제점을 발견하고 재발방지 대책을 마련했다.
악성코드가 감염된 경위 및 침해사고 대처 등과 관련해 SK텔레콤은 ▲계정정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 등 3가지 문제점이 있었다고 강조했다.
특히 SK텔레콤은 침해사고 대응과정에서 ▲침해사고 신고 지연 및 미신고 ▲자료보전 명령 위반 등 망법상 준수 의무 2가지를 위반했다고 지적했다.
그러면서 “SK텔레콤은 정보통신망법 제48조의3에 따라 침해사고를 인지한 후 24시간 이내에 과기정통부 또는 한국인터넷진흥원에 신고해야 하나 24시간이 지난 후 신고했다. 또 악성코드(타이니쉘 2종)에 감염된 서버를 발견하고도 침해사고 신고를 하지 않았다”며 “정보통신망법에 따라 과태료를 부과할 예정”이라고 밝혔다.
또 과기정통부는 “정보통신망법 제48조의4에 따라 SK텔레콤에 침해사고 원인 분석을 위해 자료 보전을 명령(4.21 17:42)했으나 SK텔레콤은 서버 2대를 디지털 증거수집(포렌식) 분석이 불가능한 상태로 임의 조치(4.21 19:52) 후 조사단에 제출했다”며 “자료보전 명령 위반과 관련해 수사기관에 수사를 의뢰할 예정”이라고 설명했다.
조사단은 이번 침해사고 조사 과정에서 SK텔레콤이 ▲보안 관리 미흡 ▲공급망 보안 소홀 등 기본적인 정보보호 활동이 미흡했던 점과 ▲SK텔레콤의 침해사고 대응이 체계적으로 가동되지 않는 사실도 확인했다.
재발방지를 위해 첫째 ▲SK텔레콤은 EDR, 백신 등 보안 해결책(솔루션) 도입 확대, 철통인증(제로트러스트) 도입, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기 점검 및 제거 등 보안 관리를 강화해야 한다고 밝혔다.
또 ▲협력업체 공급 소프트웨어 등 외부 조직 및 서비스로부터 발생하는 위험에 대한 보호대책을 마련해 이행하는 등 공급망 보안체계를 구축할 것과 ▲SK텔레콤의 정보보호 최고책임자가 전사 정보보호 정책을 총괄 관리할 수 있도록 정보보호 최고책임자를 최고경영자 직속 조직으로 강화할 것을 지적했다.
이외 다른 개선사항으로 ▲방화벽 로그기록을 6개월 이상 보관하고, 중앙로그관리시스템을 구축해 주기적인 점검과 사고 발생 시 분석에 적극 활용할 것 ▲전사 자산을 담당하는 정보기술 최고책임자(CIO)를 신설하고, 정보기술 자산관리 해결책(IT자산관리 솔루션)을 도입할 것 ▲SK텔레콤은 정보보호 강화에 필요한 인력 및 예산 규모를 타 통신사 이상의 수준(가입자 당 기준)으로 확대할 것을 요구했다.
한편 과기정통부는 SK텔레콤에 재발방지 대책에 따른 이행계획을 제출(7월)토록 하고 SK텔레콤의 이행(8~10월) 여부를 점검(11~12월)할 계획이다. 이행점검 결과 보완이 필요한 사항이 발생하는 경우 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.
과기정통부측은 “SK텔레콤 침해사고를 계기로 민간 분야 정보보호 전반의 체계를 개편할 계기가 됐다”며 “통신망을 안전하게 보호하기 위한 별도의 법제도 방안, 민간 정보보호 투자 확대 및 정보보호 관리체계(거버넌스) 강화 등을 위한 제도 개선 방안 등을 국회 과학기술정보방송통신위원회 내 SK텔레콤 해킹사고 관련 전담조직(TF)과 논의를 거쳐 마련할 계획”이라고 강조했다.
참여연대측은 “민관합동조사단의 조사 결과에 따르면 이번 사태로 전화번호, 가입자 식별번호 등 유심정보 25종이 약 2696만건 광범위하게 유출된 것으로 확인됐다. 또 SK텔레콤의 총체적인 유심 개인정보 관리 부실과 악의적인 사후대처도 드러났다”며 “SK텔레콤은 과기부와 법률자문기관들의 판단에 따라 즉각 위약금을 면제하고 가입자들에 대한 보상을 이행하라”라고 밝혔다.
ⓒ한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 및 AI학습 이용 금지.