SK텔레콤은 가입자 정보를 관리하는 HSS(Home Subscription Server) 시스템 보안 패치를 마이크로소프트 애저(MS Azure) 기반 솔루션에 의존해 왔다. 그러나 클라우드 보안 도구는 '접속 이후' 단계에 집중돼 있어 공격자가 '접속 이전' 구간을 공략할 경우 방어가 어려워진다. 이번 클론 유심(USIM) 해킹은 바로 이 틈을 향했다.

19일 여성경제신문 취재를 종합하면, MS 애저 보안 센터(Security Center)에는 비정상적인 API 호출을 감지해 경보를 발신하는 기능이 존재한다. 이번 사건의 핵심 문제는 MS 애저측의 경보가 클라우드 운영팀 내부 채널에만 머물다 중앙 라인(SOC)로 실시간 보고되지 않은 점이다. 그럼에도 자체 방어 실패를 외부로 전가시키려다 HSS 패치를 세 분기나 뒤로 미룬 정황이 포착됐다.

과학기술정보통신부와 SKT가 발족한 민관합동조사단은 악성코드 침입 시점을 2022년으로 특정했다. 이날 조사단은 총 23대의 서버에서 25종의 악성코드가 발견됐고 대부분은 리눅스 시스템을 노리는 BPF도어 계열로 확인했다. 감염된 서버 중 2대는 개인정보를 저장하고 있었다.

다만 웹셸 1종을 제외하면 모두 내부 침투형 악성코드였다는 점에서 감시망이 장기간 무력화됐던 것으로 추정된다. 시스템 내부에서 탐지되지 않은 채 수개월 이상 잠복한 정황이 드러났다. 국제 모바일 기기 식별번호(IMEI) 등 복제폰 관련 식별 정보는 유출되지 않았다고 조사단은 밝혔다. 그러나 가입자 식별번호(IMSI)와 인증키(Ki)를 바탕으로 클론폰을 생성할 수 있다. 아울러 최초 침투 시점이 사고 발생 1년 전이었다는 사실은 탐지 체계 전반의 실패를 방증한다.

SK텔레콤 인프라 전략기술센터 담당 류정환 부사장은 이번 해킹 사고와 관련해 “지난해 MS 애저 관련 문제로 부작용을 검토하다 백신 작업이 늦어졌다”며, “7월 말까지 완료할 예정”이라고 밝혔다. 이는 해킹 이후에도 3개월간 보안 공백이 이어질 것이란 점을 스스로 인정한 대답이다. 고객 데이터가 유출된 상황에서조차 방어 체계가 사실상 없다는 것을 시인한 면피성 시간 끌기로 비치는 이유다.

지난 2024년 7월 발생한 MS 애저 장애는 로그인·스토리지 지연 등 인프라 일부 기능에 국한된 사안이었는데도 이번에 사고가 발생한 SK텔레콤의 HSS 보안 업데이트 지연과 무리하게 연결시킨 것이다. "부작용을 검토하다 백신 작업이 늦어졌다"는 언급 역시 MS 애저에 책임을 전가하는 표현으로 읽힌다.

또한 MS 애저 기반 보안 기능이 도입돼 있었다는 사실만으로 내부 점검과 주기적 검토를 대체해도 된다고 착각했던 정황이 곳곳에서 드러난다. 서비스형 인프라(IaaS) 모델에서 보안 책임은 서비스 제공자가 아니라 사용자에게 있다는 기본 원칙조차 간과한 것이다. ‘애저가 알아서 패치하고 막아줄 것’이라는 안일한 인식이 결국 이번 해킹 사고로 이어졌다는 분석이 나온다.

특히 탐지 기능이 작동했더라도 SKT 내부 흐름으로 이어지지 않았다면 경보는 무용지물이다. 보안업계는 클라우드 운영팀이 경보를 ‘참조(Informational)’로 분류했을 가능성을 제기한다. 이 경우 알람은 단순 로그로 저장될 뿐 분석·차단 절차가 작동하지 않는다. 침입 흔적이 남아도 시스템 내부에선 ‘아무 일도 없었던 것처럼’ 처리됐을 수 있다.

국회 과학기술정보방송통신위원회(5월 8일) 속기록에는 사고 시점이 상세히 드러난다. 최민희 위원장은 "제보에 따르면 3월 12~20일 SKT 인증 서버에 비정상 트래픽이 지속됐다"고 질의했지만 류정환 부사장은 “보고받지 못했다”고 답했다. 경보가 존재했으나 의사결정 라인으로 전달되지 않았다는 점이 공식 기록으로 남은 것이다.

이처럼 경보가 하위 채널에만 저장돼 중앙 SOC와 공유되지 않는 구조라면 9일간 침투가 계속돼도 막을 방법이 없다. 공격자는 취약 구간을 이용해 최종적으로 약 9.7GB(기가바이트) 분량의 가입자 정보를 탈취한 것으로 추정된다. 유심 클론 1개에 필요한 정보가 1~2KB 수준임을 감안하면 이론적으로 최대 400만여 개의 도플갱어 유심 생성이 가능하다. 메타데이터와 중복 로그를 제거하더라도 5만 명의 이용자가 실제 위협에 노출된 것.

SK그룹의 총체적 보안 부실에서 SK쉴더스(옛 ADT캡스)도 자유롭지 않다. SK쉴더스는 SKT와 24x7 탐지·대응 계약을 맺고 있었다. 클라우드에서 발생한 경보가 상부에 보고되지 않는 구조를 개선하지 않았고 후속 조치도 명확히 보이지 않는다. 사고 직후 홍원표 대표가 임기를 3개월 남긴째 사임하고 기업 신용도엔 프리미엄 리스크가 반영되기 시작했다.

종합하면 지난 2024년 7월  발생한 MS 애저 장애는 로그인 지연에 불과했지만 SK텔레콤은 이 문제를 이유로 가입자 인증의 최후 보루인 HSS 서버의 백신 패치를 세 분기 뒤로 미뤘다. 해킹 사고 이후에도 자체 망 방어보다 외부 클라우드 안정성 검토를 우선시하면서 공격자에게 3개월 가량의 무제한 사전 연습장을 제공한 셈이다. 글로벌 정보공동체 한 관계자는 "클라우드는 방어막이 아니어서 HSS 패치, SOC 통합, 권한 관리는 내부에서 실시간으로 점검돼야 한다"며 "이번 9 GB 유출은 기술적 사고라기보다 책임 전가가 빚은 전형적 인재(人災)"라고 지적했다.

여성경제신문 이상헌 기자 liberty@seoulmedia.co.kr