![[사진=연합뉴스]](https://cdn.thepublic.kr/news/photo/202505/261764_261308_1726.jpg)
[더퍼블릭=이유정 기자] SK텔레콤 해킹 사태와 관련 최근 추가로 발견된 악성코드 8종이 사건 초기와 동일한 홈가입자서버(HSS) 3대에서 나온 것으로 확인됐다. 개인정보 유출 범위가 확산됐다는 우려가 있었지만, 현재까지는 추가 서버 감염은 없었던 것으로 보인다.
8일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원실에 따르면, 민관 합동 조사단은 최근 공개된 악성코드 8종 모두 SK텔레콤의 가입자 정보가 저장된 14대의 HSS 서버 중 최초 공격을 받았던 3대에서 발견됐다고 보고했다. 이는 앞서 공개된 4종의 악성코드와 동일한 위치에서 나온 것이다.
조사단은 이들 악성코드의 유입 시점과 경위를 포렌식으로 조사 중이며, 코드 생성 시점에 대해서는 아직 공개하지 않았다. 생성 시점은 해커의 침입 시기와 활동 패턴을 규명할 중요한 단서로 작용한다.
SKT가 사용하는 리눅스 운영체제(OS)에서는 기본 명령어로 파일 생성 날짜를 조회할 수 있어, 채증 당시 생성 시간 확인이 가능했을 것으로 보안업계는 보고 있다.
다만 보안 전문가들은 해커가 ‘안티 포렌식’ 기법을 통해 생성 시점 등을 위조했을 가능성도 배제하지 않고 있다.
악성코드가 집중된 HSS 서버 3대가 서로 연결돼 있었는지, 각각의 폐쇄망으로 분리돼 있었는지도 사건 규명에 핵심 변수로 꼽힌다. 만일 내부망으로 연결돼 있었다면 해커가 래터럴 무브먼트(측면 이동)를 통해 다른 서버로 침투했을 가능성이 있다.
SKT 측은 해당 서버들이 폐쇄망으로 운영됐다고 주장하고 있다. 그러나 이들 서버의 VPN(가상사설망) 장비로 사용된 제품 중 하나가 보안 결함으로 논란이 된 이반티(Ivanti)의 장비였다는 점에서, VPN 취약점을 통한 해킹 가능성도 제기된다.
SKT은 문제의 서버에 이반티 제품과 함께 국산 보안 장비인 시큐위즈를 병행 사용한 것으로 과방위 소속 김장겸 의원(국민의힘)에게 보고했다. 이에 따라 이반티 VPN의 보안 허점을 주로 공략하는 중국계 해킹 조직의 개입 가능성도 제기되고 있다.
더퍼블릭 / 이유정 기자 leelyjwo@thepublic.kr