"악성코드 시점·위치·VPN 취약점 등 조사 중…타 플랫폼업체 피해 보고 없어"SKT 가입자 모집 중단한 5일, 타 통신사로 1만3천여명 이동
조성미
입력 : 2025.05.06 09:31:02
(서울=연합뉴스) 조성미 기자 = SK텔레콤[017670] 서버 해킹 사건을 조사 중인 민관 합동 조사단은 최근 추가로 공개된 악성 코드 8종의 유입 시점과 발견 장소 등을 들여다보고 있다.
6일 조사단은 새로 공개된 악성 코드 8종 역시 해킹 사건 초기에 파악된 악성 코드 4종이 나온 홈가입자서버(HSS)에서 발견된 것인지, 별도 서버 장치에 심겨 있던 것인지 구체적 정황을 분석 중이다.
SK텔레콤은 지난달 18일 보안관제센터에서 데이터가 빠져나간 트래픽 이상을 감지한 이후 과금 분석 장비에서 악성코드가 심어진 사실과 함께 파일을 삭제한 흔적을 발견했다.
이어 다음날 4G 및 5G 가입자가 음성 통화를 이용할 때 단말 인증을 수행하는 홈가입자서버(HSS)의 데이터 유출 정황을 확인했다.
해킹 사건에 대해 조사 중인 한국인터넷진흥원(KISA)은 지난 3일 '최근 해킹 공격에 악용된 악성 코드 위협정보 2차 공유 및 주의 안내' 공지를 통해 "최근 통신사 침해 사고 대응 중 리눅스 시스템을 대상으로 공격 사례가 확인됐다"며 악성 코드 8종을 추가로 공개했다.
민관 합동 조사단은 해당 코드 발견 장소 및 유입·생성 시점, 경로 등에 대한 포렌식 작업을 진행 중이나 조사 결과에 대해서는 "아직 확인하고 있는 사안"이라고 했다.
보안업계에서는 SK텔레콤의 리눅스 기반 서버가 이반티(Ivanti)라는 업체의 VPN(가상사설망) 장비 취약점을 노렸다는 주장도 제기되고 있으나, SKT가 쓴 VPN 장비가 이반티 기반인지 시스코 등 다른 대형 업체 기반인지는 확인되지 않고 있다.
과학기술정보통신부는 지난 3일 통신 3사 및 주요 플랫폼 기업인 네이버, 카카오[035720], 쿠팡, 우아한형제들의 정보보호 현황을 점검하면서 플랫폼 업계도 SK텔레콤 해킹에 사용된 악성 코드에 대해 철저히 점검할 것을 주문했다.
이들 플랫폼 업계가 쓰는 VPN 장비가 해당 악성 코드에 취약한지 여부 등을 점검하라는 취지에서다.
당시 과기정통부는 "지난 18일 발생한 SK텔레콤 침해 사고가 국가 네트워크 전반의 보안과 안전에 경종을 울리는 중대한 사안이라는 인식에 따른 조치"라고 설명했다.
민관 합동 조사단 관계자는 "플랫폼 업계에서의 해당 악성 코드에 대한 피해는 현재까지 보고된 바 없다"고 전했다.
한편, SK텔레콤이 직영 및 대리점인 전국 2천600개 T월드에서 신규 가입 및 번호이동을 받지 않기 시작한 지난 5일 이 회사에서 KT로 7천87명, LG유플러스로는 6천658명, 총 1만3천745명이 이동했다.
연휴 영향에다 유심 보호 서비스 자동 가입 등 사태가 일단 진전 양상을 보이면서 지난주 후반 3만명대 가입자 이탈에서 규모가 축소한 것으로 풀이된다.
