[이데일리 최연두 기자] 최근 SK텔레콤 이용자의 유심(USIM) 정보 유출 사고와 관련해, 중국 해커조직 ‘레드 멘셴(Red Menshen)’이 배후일 가능성이 제기됐다. 정부가 실시한 SK텔레콤에 대한 1차 조사 과정에서 이 해커조직이 주로 사용하는 악성코드가 SK텔레콤 내부 시스템에서 발견된 것으로 확인됐다. 다만, 현재까지 다크웹에 SK텔레콤 유심 정보가 유출된 정황은 확인되지 않았다.

SK텔레콤이 가입자 유심 무상 교체를 시작한 28일 서울 마포구의 한 T월드 본사 직영 대리점을 찾은 고객들이 유심을 교체하기 위해 대기하고 있다.(사진=이데일리 방인권 기자)

과학기술정보통신부는 29일 오후 민관합동조사단이 최근 사내 유심정보 관리 서버에 공격을 받은 SK텔레콤을 대상으로 약 일주일 간 1차적으로 조사한 내용을 발표했다.

이에 따르면 현재까지 확인된 유출 정보는 △가입자 전화번호 △가입자식별번호 등 유심 복제에 활용될 수 있는 정보 4종과 △SK텔레콤 내부 관리용 정보 21종이다. 단말기 고유식별번호(IMEI)는 유출되지 않은 것으로 확인됐다. 구체적인 데이터 유출 규모는 아직 확인되지 않았다.

BPF도어 계열 악성코드 4종 확인… 장기 침투·조종 가능

SK텔레콤 유심 해킹 사건을 조사 중인 당국 합동조사단은 이번 공격에 사용된 악성코드로 리눅스 기반 ‘BPF도어(BPFdoor)’ 계열 악성코드 4종이 확인됐다고 29일 밝혔다.

조사단에 따르면 이 악성코드는 PC나 서버 등에 은밀히 숨어 있다가, 외부에서 특정 명령이 전달되면 시스템을 마음대로 조종할 수 있도록 설계된 원격 제어형 악성 프로그램이다. 해커는 이를 통해 대상 서버 내부로 침투해 저장된 데이터를 유출하거나, 장기간에 걸쳐 시스템을 통제할 수 있다.

글로벌 보안업체 트렌드마이크로 등은 중국 해커조직 ‘레드 멘셴(Red Menshen)’이 이 BPF도어를 활용해 한국, 홍콩, 미얀마, 말레이시아, 이집트 등 아시아·중동 지역의 통신, 금융, 유통 산업을 대상으로 사이버 스파이 활동을 벌여왔다고 분석한 바 있다.

다만 이번 공격의 배후를 중국 해커로 단정하기는 아직 이르다는 지적도 나온다. 한 보안업계 관계자는 “BPF도어의 소스코드는 이미 2022년부터 깃허브(GitHub) 등 오픈소스 플랫폼에 공개돼 있어 누구나 변형해 사용할 수 있다”면서 “공격 배후를 특정하려면 악성코드 분석 외에도 다양한 디지털 포렌식, 행위 기반 분석 등의 종합적 조사가 필요하다”고 설명했다.

다크웹 유심 정보 유출은 확인 안 돼…LG U+보다 과징금은 높을 것

이정은 개인정보보호위원회 과장은 “현재까지 SK텔레콤 관련 개인정보가 다크웹에 유출된 정황은 확인되지 않았다”며 “KISA 등과 함께 상시 모니터링 및 대응 체계를 운영 중”이라고 밝혔다. 다크웹은 일반 검색엔진으로 접근할 수 없는 비공개 네트워크로, 범죄에 자주 악용되는 공간이다.

SK텔레콤의 메인서버 해킹 사실은 현재 조사 중이며, 유출 범위나 주민등록번호 포함 여부는 아직 단정할 수 없는 상황이다. 그럼에도 개인정보보호위원회는 이번 사건의 과징금이 2023년 LG유플러스 해킹 사건보다 클 가능성이 높다고 보고 있다.

이는 개인정보보호법 개정으로 과징금 산정 기준이 관련 매출에서 전체 매출의 최대 3%로 확대된 데다, LG유플러스는 부가서비스 영역 침해였던 반면, SK텔레콤은 핵심 개인정보가 저장된 메인서버가 공격당했을 가능성이 있기 때문이다.

다만 SK텔레콤이 법에 따라 72시간 내 자진 신고 요건을 충족했고, 유심 보호 서비스 및 유심 교체 조치, 조사 협조 등을 신속히 이행한 점은 감경 사유로 고려될 수 있다.

최장혁 개인정보위 부위원장은 “아직 과징금 액수를 추산하기엔 이른 시점”이라면서도 “이번 사건은 법 개정 이후에 발생한 메인서버 유출로, LG유플러스 사건보다는 과징금이 클 것으로 예상된다”고 말했다.