삼성 Knox 얼마나 뚫렸을까?···7일 연휴, 해커들엔 '작전 주간'

전화번호 및 유심 폐기·재인증 절차 없이 정부 발표 믿었다간 해커에 놀이터 내줘 디지털 클론 세션-토큰 상태서 장기 생존

2025-04-30     이상헌 기자
삼성전자가 개발한 기업 보안 플랫폼 녹스(Knox) 소개 이미지 /삼성전자

한국은 5월 1일 노동절을 시작으로 어린이날과 부처님오신날이 이어지며 6박7일 간의 연휴에 들어간다. 해커들 입장에선 작전을 펼칠 추가 시간을 확보한 셈이다. 특히 삼성전자가 개발한 녹스(Knox)처럼 전화번호 기반 인증 구조에 의존하는 시스템은 최소 5만 개로 추정되는 디지털 클론들에게 이미 문을 열어준 상태다. 이대로 시간만 흐른다면 이번 황금연휴는 대한민국 헌정사에서 가장 참혹했던 주간으로 기록될 수도 있다.

30일 여성경제신문 취재를 종합하면 삼성그룹 전 계열사에 적용된 Knox가 SK텔레콤 유심(USIM) 복제 사태에서 중대한 취약 지점으로 떠오르고 있다. 핵심은 Knox 시스템이 본질적으로 전화번호 기반 2단계 인증(2FA)에 의존하고 있다는 점이다. 복제 유심만 확보돼도 해커는 시스템 내에서 ‘정상 사용자’로 인식된다는 것.

기업 보안 체계인 Knox는 기본적으로 모바일 기기 관리(MDM), 기기 무결성 검사, 루팅 탐지 등의 기능을 갖추고 있지만 계정 자체가 탈취된 경우에는 탐지 수단이 거의 없다. 더욱이  클라우드(Cloud) 연동 계정은 단말기 없이도 로그인만 되면 내부 업무망 자료에 접근이 가능하다. 복제 유심을 이용한 스와핑 공격이 성공할 경우 해커가 임직원 계정으로 회사 내부 시스템에 '인증'을 받고 진입하는 상황에 처할 수 있다. 삼성 계열사 대부분은 Knox 계정에 이메일, 일정, 클라우드 저장 문서, 결재 기록 등이 자동 연동돼 있다.

삼성전자를 필두로 계열사 전반에 적용된 Knox는 단말 보안, 계정 인증, 클라우드 연동, 정책 통제 기능이 통합된 '삼성의 보안 생태계'로 볼 수 있다. 본사, 정부 납품 단말, 금융기관 기기 등에서 광범위하게 운용된다. 문제는 Knox 시스템이 기기 변조·루팅에 대한 방어는 강력하지만 해킹으로 계정 자체가 털린 경우에는 걸러낼 수단이 거의 없다는 점이다.

해커는 IMSI와 Ki로 생성한 복제 유심을 통해 삼성 계정에 로그인하고 인증 코드를 수신해 Knox 포털 및 관리 시스템에 접근할 수 있다. 기기를 훔치지 않아도 ‘전화번호’만 복제되면 모든 문이 열리는 것이다. 해커는 계정에 부여된 권한 범위 안에서 업무 문서를 열람하고 정부·군수·반도체 고객 대상의 제안서도 확인할 수 있다. 글로벌 경쟁사가 이런 정보를 입수할 경우 계약 교란이나 전략 유출로 이어질 수 있다.

특히 고위 임직원 계정이 털리는 경우 피해 범위는 가늠조차 어렵다. 관리자 계정이 복제돼 접속할 경우 수천~수만 대의 업무용 기기에 대한 정책 접근권이 열리고 마스터 데이터 관리(MDM) 시스템을 통해 원격 삭제, 앱 배포, 통화기록 수집도 가능해진다. 이메일, 일정, 결재 이력, M&A 문건, 전략 파일이 자동 연동돼 있기 때문이다.

[표] SK텔레콤으로부터 유출된 9.7GB의 데이터는 유심 10만~30만 개 분량의 복제 가능 정보를 포함한 것으로 추정된다. / 정리=이상헌 기자

더 큰 문제는 5만 건의 복제 유심 생성이 기술적으로 가능한 시점[표 참조]에서 정부 대응이 사후약방문 식이라는 점이다. 이미 복제된 유심은 사용자가 폐기·재인증 절차를 전방위로 시행하지 않는다면 또다른 ‘나’로서 장기간 활동할 수 있는 구조다. 다시 말해 유심을 해지한다고 해서 디지털 클론이 자동으로 사라지는 것이 아닌데도 정부가 사태를 무마하려는 태도를 보이고 있다는 점이 가장 우려스러운 대목이다. 

최태원 SK그룹 회장은 임원들에게 휴대폰 유심을 교체하는 대신 유심 보호 서비스에 가입하라고 공지한 것으로 전해졌다. SK텔레콤은 "유심 복제만으로는 은행이나 가상자산 계좌가 탈취되거나 공인인증서 등이 복제되지 않는다"며 되려 서비스 가입을 권유하고 있다. 이날 본지와 만난 삼성 계열사 한 관계자도 "특별한 공지는 없어 SKT를 쓰고 있는데 내일부터 7일 연휴라 어떻게 해야될지 고민된다"고 말했다.

클론은 단순한 복제가 아니라 접속 권한을 가진 '두 번째 나'다. 복제 유심을 통해 생성된 인증 토큰, 로그인 세션, 쿠키, 인증서 등은 사용자 해지 이후에도 유효기간까지 계속 작동할 수 있다. 일부 플랫폼은 세션 만료 전까지 접속을 유지하게 돼 있으며 복제자는 이 시간을 활용해 클라우드 문서, 이메일, 업무 시스템에 접근할 수 있다.

즉 해커는 이미 로그인한 상태에서 자료 수집이 가능하기 때문에 유심 해지나 교체는 확산 방지를 위한 최소 조치에 불과하다는 얘기다. 복제 유심이 발생한 상황에선 계정 회수 및 전화번호 변경, 모든 기기 초기화, 인증 방식 전면 교체를 병행하지 않으면 복제된 디지털 클론은 피해자의 이름으로 시스템 속에 계속 살아남는다.

현재 전화번호 기반 2차 인증 방식은 정부24, 홈택스, 건강보험공단, 고용보험, 나라장터 등 국가 행정 포털 전반에서 이뤄지고 있다. 국민은행, 신한은행, 카카오뱅크 등 모든 은행 앱은 문자 인증이 로그인·이체·OTP 인증 절차에 포함된다. 보안업계 한 관계자는 "북한을 비롯한 적대 세력이 국가의 보안·금융·산업 구조까지 장악할 수 있는 허점을 드러낸 사건"이라며 "중앙 집중식 전화번호 인증 체계의 한계를 넘어, 블록체인 기반의 분산 ID(Decentralized Identity) 같은 구조적 전환이 시급하다"고 강조했다.


여성경제신문 이상헌 기자 
liberty@seoulmedia.co.kr