트위터
SK텔레콤 해킹이 금전 탈취가 아니라 국가 기밀을 노린 사이버 전쟁 일환일 수 있다는 지적이 나온다. 3년 전 SKT 주요 서버에 잠입했는데도 현재까지 다크웹에서 개인정보를 거래하거나 복제폰 등 피해가 발생하지 않은 점에서 일반인 대상 금융 사기가 아니라 주요 인사의 CDR(통화상세기록) 등을 노렸을 수 있다는 분석이다. 해킹 세력으론 중국계 해커조직이 거론된다.
21일 안랩은 최근 지능형지속위협(ATP) 공격 동향 보고서에서 "중국 APT 그룹이 아시아 지역 공격을 집중하고 있다"며 "어스 블루크로우(레드맨션) 그룹이 지난달 발생한 한국 통신사 침해사고 배후인지 조사 중"이라고 밝혔다. 어스 블루크로우 그룹이 2021년부터 한국을 포함해 아시아·중동지역 통신·금융·소매 산업을 대상으로 사이버 스파이 활동을 벌이고 있다는 설명이다.
과학기술정보통신부에 따르면 2022년 6월 SKT 서버에 웹셸 악성코드가 설치된 후 BPF도어 계열 24종이 추가 침투한 것으로 나타났다. BPF도어는 일종의 백도어(Backdoor·뒷문)로, 정상적인 인증 절차를 우회해 시스템에 몰래 접근할 수 있는 통로다. 한 번 침투하면 장기간 은닉하는 데다 탐지 기술도 회피해 일반적인 보안점검으론 발견하기 어렵다.
미국 사이버 보안업체 트렌드마이크로는 지난달 보고서에 "BPF도어는 사이버 스파이 활동을 위해 설계된 국가 후원형 백도어"라며 "지난해 7, 12월 두 차례 한국 통신기업을 공격했다"고 썼다. 과기정통부는 해당 통신기업이 SKT인지는 확실치 않다는 입장이다.
"자금력·조직력 갖춘 APT 공격"…다른 곳에도 침투했나 '우려'중국 APT 그룹은 오랜 기간 지속적인 해킹 시도로 중요 데이터를 탈취하는 APT공격방식 중에서도 BPF도어 수법을 주로 쓰는 것으로 알려졌다. 과거 해킹조직이 불특정 다수를 대상으로 무차별 공격했다면, APT 그룹은 특정 개인·조직을 목표로 삼고 치밀하게 계획해 취약점을 공격한다. 때문에 악성코드가 언제 어떤 경로로 침입했는지 파악하기 쉽지 않다.
보안 전문가들은 이번 SKT 해킹도 자금력과 조직력을 갖춘 APT그룹의 공격으로 간주한다. 경제적인 목적이었다면 다크웹에 탈취한 정보를 올리고 SKT에 협상을 요구했을 것이란 지적이다. 그러나 사고가 알려진 지 한 달째 별다른 피해사례가 발생하지 않았다. 염흥열 순천향대 정보보호학과 교수는 "적어도 금전 목적 해킹은 아니다"라며 "단정하기엔 이르지만, 국가안보 위협 목적일 수 있다. 전반적으로 사이버 보안체계에 대해 재검토가 필요하다"고 말했다.
업계 관계자는 "APT 공격은 전산망 마비나 민감정보 탈취가 목적"이라며 "유심 복제를 하더라도 일반인이 아닌 고위공직자·정치인 등 타깃이 있을 것"이라고 했다. 문제는 국내 1위 이동통신사 SKT를 노린 해커라면 국가기반시설과 병원·학교 등 공공시설에도 침투할 수 있다는 점이다. 이 관계자는 "이 정도 공격자라면 이미 악성코드를 심어놨을 수도 있다"고 우려했다.
지난해 미국 통신사 9곳이 중국 해커집단 '솔트 타이푼'의 공격을 받았을 때도 CDR이 주요 타깃이었다. 이는 '누가 언제 어디서 누구와 통화했다'는 기록이다. 다행히 과기정통부는 "현재까진 CDR 데이터베이스(DB) 해킹이 발견되지 못했다"고 밝혔다. 류정환 SK텔레콤 인프라네트워크센터장도 "CDR은 이중장치로 보관하고 있어 빼내 갈 수 없다"고 강조했다.
일각에선 북한 소행설도 제기한다. 북한 해킹그룹이 중국을 경유해 한국을 공격했을 수 있다는 관측이다. 실제 북한 APT그룹도 한국의 소프트웨어(SW) 생태계에 대한 이해를 바탕으로 지속 공격해왔다. 북한 연계 해킹조직 코니는 올해 1~3월 한국 정부 기관을 사칭한 피싱 메일을 보낸 바 있다. 다만 정부 관계자는 "민간에선 추측할 수 있으나 정부 단에선 확인되지 않은 내용"이라고 선을 그었다.
머니투데이
21일 안랩은 최근 지능형지속위협(ATP) 공격 동향 보고서에서 "중국 APT 그룹이 아시아 지역 공격을 집중하고 있다"며 "어스 블루크로우(레드맨션) 그룹이 지난달 발생한 한국 통신사 침해사고 배후인지 조사 중"이라고 밝혔다. 어스 블루크로우 그룹이 2021년부터 한국을 포함해 아시아·중동지역 통신·금융·소매 산업을 대상으로 사이버 스파이 활동을 벌이고 있다는 설명이다.
과학기술정보통신부에 따르면 2022년 6월 SKT 서버에 웹셸 악성코드가 설치된 후 BPF도어 계열 24종이 추가 침투한 것으로 나타났다. BPF도어는 일종의 백도어(Backdoor·뒷문)로, 정상적인 인증 절차를 우회해 시스템에 몰래 접근할 수 있는 통로다. 한 번 침투하면 장기간 은닉하는 데다 탐지 기술도 회피해 일반적인 보안점검으론 발견하기 어렵다.
미국 사이버 보안업체 트렌드마이크로는 지난달 보고서에 "BPF도어는 사이버 스파이 활동을 위해 설계된 국가 후원형 백도어"라며 "지난해 7, 12월 두 차례 한국 통신기업을 공격했다"고 썼다. 과기정통부는 해당 통신기업이 SKT인지는 확실치 않다는 입장이다.
"자금력·조직력 갖춘 APT 공격"…다른 곳에도 침투했나 '우려'중국 APT 그룹은 오랜 기간 지속적인 해킹 시도로 중요 데이터를 탈취하는 APT공격방식 중에서도 BPF도어 수법을 주로 쓰는 것으로 알려졌다. 과거 해킹조직이 불특정 다수를 대상으로 무차별 공격했다면, APT 그룹은 특정 개인·조직을 목표로 삼고 치밀하게 계획해 취약점을 공격한다. 때문에 악성코드가 언제 어떤 경로로 침입했는지 파악하기 쉽지 않다.
보안 전문가들은 이번 SKT 해킹도 자금력과 조직력을 갖춘 APT그룹의 공격으로 간주한다. 경제적인 목적이었다면 다크웹에 탈취한 정보를 올리고 SKT에 협상을 요구했을 것이란 지적이다. 그러나 사고가 알려진 지 한 달째 별다른 피해사례가 발생하지 않았다. 염흥열 순천향대 정보보호학과 교수는 "적어도 금전 목적 해킹은 아니다"라며 "단정하기엔 이르지만, 국가안보 위협 목적일 수 있다. 전반적으로 사이버 보안체계에 대해 재검토가 필요하다"고 말했다.
업계 관계자는 "APT 공격은 전산망 마비나 민감정보 탈취가 목적"이라며 "유심 복제를 하더라도 일반인이 아닌 고위공직자·정치인 등 타깃이 있을 것"이라고 했다. 문제는 국내 1위 이동통신사 SKT를 노린 해커라면 국가기반시설과 병원·학교 등 공공시설에도 침투할 수 있다는 점이다. 이 관계자는 "이 정도 공격자라면 이미 악성코드를 심어놨을 수도 있다"고 우려했다.
지난해 미국 통신사 9곳이 중국 해커집단 '솔트 타이푼'의 공격을 받았을 때도 CDR이 주요 타깃이었다. 이는 '누가 언제 어디서 누구와 통화했다'는 기록이다. 다행히 과기정통부는 "현재까진 CDR 데이터베이스(DB) 해킹이 발견되지 못했다"고 밝혔다. 류정환 SK텔레콤 인프라네트워크센터장도 "CDR은 이중장치로 보관하고 있어 빼내 갈 수 없다"고 강조했다.
일각에선 북한 소행설도 제기한다. 북한 해킹그룹이 중국을 경유해 한국을 공격했을 수 있다는 관측이다. 실제 북한 APT그룹도 한국의 소프트웨어(SW) 생태계에 대한 이해를 바탕으로 지속 공격해왔다. 북한 연계 해킹조직 코니는 올해 1~3월 한국 정부 기관을 사칭한 피싱 메일을 보낸 바 있다. 다만 정부 관계자는 "민간에선 추측할 수 있으나 정부 단에선 확인되지 않은 내용"이라고 선을 그었다.
머니투데이
