USIM 복제는 가능하나, 심스와핑 위험은 제한적.
과학기술정보통신부 산하 민관합동조사단이 SK텔레콤 해킹 사태에 대한 1차 조사 결과를 29일 발표했다. 조사 결과에 따르면, 이번 해킹으로 가입자 전화번호와 가입자식별키(IMSI) 등 USIM 복제에 활용될 수 있는 정보 4종이 유출된 것으로 확인됐다. 하지만 단말기 고유식별번호(IMEI)는 유출되지 않았다는 점이 확인되면서 최악의 시나리오는 피한 것으로 평가된다.
조사단은 SK텔레콤의 유출된 정보 분석 결과 USIM 복제에 활용될 수 있는 정보 4종과 유심 정보 처리에 필요한 SK텔레콤 자체 관리용 정보 21종이 유출된 것으로 파악했다. 하지만 단말기 고유식별번호가 함께 유출되지 않았기 때문에, 해커가 복제한 유심을 다른 휴대전화에 장착해 사용자의 명의로 통신 서비스를 이용하는 '심스와핑(SIM swapping)' 공격은 제한적일 것으로 분석됐다.
이와 관련해 조사단은 "SK텔레콤이 시행 중인 유심 보호 서비스에 가입하는 경우, 이번에 유출된 정보로 유심을 복제해 다른 휴대전화에 꽂아 불법적 행위를 하는 심스와핑 위험이 방지된다"고 설명했다. 이에 따라 가입자들에게 유심 보호 서비스 가입을 적극 권장하고 있다. 유심 보호 서비스는 명의자가 사용하던 기기가 아닌 다른 기기에서 탈취한 명의로 통신 서비스에 접속하려 할 경우 이를 차단하는 기능을 제공한다.
스미싱 등 2차 공격 위험 여전히 존재해.
비록 단말기 고유식별번호가 유출되지 않아 대규모 심스와핑 공격 가능성은 낮아졌지만, 전문가들은 여전히 다른 형태의 사이버 공격 위험이 남아있다고 경고한다. 특히 유출된 정보를 활용한 스미싱 공격이 가장 우려되는 상황이다. SK텔레콤 해커가 다른 경로로 탈취한 정보와 이번 해킹에서 빼돌린 유심 정보를 조합하면 정교한 스미싱 공격을 감행할 수 있기 때문이다.
유심 보호 서비스에 가입하지 않은 이용자가 스미싱에 넘어갈 경우, 여전히 휴대전화 주도권 탈취 위험이 존재한다. 해커가 SK텔레콤 가입자를 대상으로 '명의 도용 등을 막기 위해 휴대폰을 껐다 켜달라'와 같은 스미싱 문자를 보냈을 때, 이에 속아 넘어가 휴대전화를 종료하면 심스와핑이 발생할 수 있다는 설명이다.
이러한 유형의 스미싱 시도를 상시 모니터링하고 있는 한국인터넷진흥원(KISA)은 현재까지 해당 유형의 공격 사례는 발견되지 않았다고 밝혔다. 그러나 KISA는 이용자들에게 휴대전화 재부팅을 요구하는 피싱 메시지가 수신되면 절대 지시에 따르지 말고 즉시 신고해달라고 당부했다.
대규모 정보 유출 사태에서는 초기 대응도 중요하지만, 2차 공격을 방지하기 위한 이용자들의 적극적인 보안 조치가 필수적입니다. 유심 교체와 보호서비스 가입은 현 시점에서 가장 효과적인 대응책입니다.
대규모 해킹 공격, 고도화된 침투 방식 확인돼.
민관합동조사단은 SK텔레콤이 공격받은 정황이 있는 서버 3종, 5대를 조사했으며, 추가적인 중요 정보가 포함된 서버들에 대한 조사를 확대 중이라고 밝혔다. 조사 과정에서 침투에 사용된 BPF도어(BPFDoor) 계열의 악성코드 4종이 발견됐다. 이 공격 수법은 리눅스 운영체제에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF(Berkeley Packet Filter)를 악용한 백도어 방식으로, 은닉성이 높아 해커의 통신 내용을 탐지하기 어려운 특징을 가지고 있다.
SK텔레콤이 국회 과학기술정보방송통신위원장인 최민희 의원에게 제출한 자료에 따르면, 이번 해킹으로 유출된 정보는 이미지나 영상이 아닌 텍스트 데이터로 총 9.7기가바이트(GB)에 달한다. 가입자 1명당 유심 정보량을 144킬로바이트(KB)로 계산하면 6천736만명분에 해당하는 규모지만, SK텔레콤이 가입자 정보를 분산 저장한 서버 총 14대 중 일부인 3대에서만 유출이 이뤄졌기 때문에 모든 가입자 정보가 유출됐다고 단정하기는 어렵다는 설명이다.
인터넷망으로 침입한 해커는 다층의 방화벽을 뚫고 SK텔레콤 사내망을 거쳐 관리망까지 침투한 뒤, 가장 심층부인 내부망에까지 접근한 것으로 파악됐다. 과방위 소속 최수진 의원에 따르면, SK텔레콤은 해킹 인지 직후 자체 포렌식에 착수했으나 해커가 침입 경로 등의 흔적을 모두 지우고 빠져나가 자체 조사에 난항을 겪은 것으로 전해졌다. 현재는 과기정통부가 주도하는 민관합동조사단이 전문적인 포렌식 조사를 진행 중이다.