[박진영의 잇(IT)스토리] SKT 사태, 중국 해커 가능성 '솔솔'…"악성코드·VPN 공격 연루 정황"

최근 VPN 취약점 공격 위협↑…"SKT 사태도 가능성 있어"

중국 해커들이 주로 사용하는 'BPF도어'…SKT 서버에서 발견

"현재로썬 해킹 배후 단정 짓기 어려워…심층 조사 중"

[사진=게티이미지뱅크]

SK텔레콤의 이용자 유심 정보 유출 사태에 중국과 연계된 해커 그룹이 개입됐다는 가능성이 거론되고 있다. 

해커들은 SKT 가상사설망(VPN) 취약점을 악용해 침투했을 것으로 추정된다. 중국과 연계된 해커그룹이 최근 VPN 취약점을 악용해 한국 등 전세계 여러 기관을 위협하고 있다는 경고가 나오면서 이번 사태가 중국 해커 소행일 가능성에 무게감이 실리고 있다. 

앞서 최근 정부가 발표한 SKT에 대한 1차 조사에서도 중국 해커조직이 주로 사용하는 것으로 알려진 악성코드가 발견됐다.
 

최근 VPN 취약점 공격 위협↑…"이번 SKT 사태도 가능성 있어"

3일 업계에 따르면, 대만 사이버 보안 기업 팀티파이브(TeamT5)는 최근 보고서를 통해 지난 3월 말 중국 해커그룹이 이반티의 VPN 장비의 취약점을 악용해 전 세계 여러 기관에 침투한 것을 탐지했다고 밝혔다. 피해국가는 한국을 비롯한 12개국으로 표적이 된 산업은 통신 등 20개 분야다.

VPN은 통신 네트워크의 안전한 연결을 위해 필요한 솔루션으로, 중앙 집중형 구조와 인증 취약점 등으로 인해 해커들의 주요 공격 경로로 악용되기도 한다. 일례로 2021년 한국원자력연구원·한국항공우주산업(KAI) 등 국내 공공기관이 VPN 취약점을 악용한 해킹을 당했고, 이로 인해 내부 직원의 계정정보가 유출되는 피해가 발생했다.  

최근 SKT 사태와 관련해서도 VPN 취약점 악용 가능성이 제기됐다. 이해민 조국혁신당 의원은 최근 과학기술정보방송통신위원회 청문회에서 "이번 해킹은 폐쇄망 안에서 이뤄진 것인데, 그 안으로 들어간 해커가 유심 정보만 털었을까 하는 의문이 든다"면서 "VPN 취약점을 이용해 해커가 침투해 1년 정도 장기간 공격을 시도했을 가능성도 제기된다"고 지적한 바 있다. 

더욱이 SKT 등 국내 많은 기업에서 활용 중인 것으로 알려진 '이반티 VPN'이 최근 여러 위협을 받은 것으로 보안업계는 보고 있다. 팀티파이브는 "4월부터 이반티 VPN 공격 시도가 관찰됐고, 전 세계 많은 이반티 VPN이 마비되고 불안정해졌다"면서 "'이반티 커넥트 시큐어' VPN의 취약점을 악용한 공격일 가능성을 높다"고 밝혔다. 앞서 지난해 SK그룹 보안 관계사 SK쉴더스 역시 이반티 커넥트 시큐어 제품의 심각한 취약성을 발견했다고 경고한 바 있다. 
 

SKT 서버에 발견된 악성코드 'BPF도어'…"중국 해커들이 주로 사용"

중국 해커가 주로 사용하는 수법으로 알려진 'BPF도어 공격'도 주목받고 있다.

BPF도어는 백도어 공격으로, 중국 기반 공격자인 레드멘션은 중동과 아시아를 대상으로 한 공격에 이를 사용해왔다. 2021년 PWC 위협 보고서를 통해 처음 알려졌다. 이번 SKT 사태와 관련한 정부의 1차 조사에서 SKT 가입자 인증서버(HSS)를 해킹한 악성코드로 확인됐다. 

BPF는 리눅스와 유닉스 기반에서 사용되는 네트워크 필터링 기술로, 해커는 이 기술을 악용해 보안 솔루션의 탐지를 회피하고 장기간 시스템에 숨어있을 수 있다. BPF 도어의 가장 큰 특징은 평소엔 숨어 있다가, 특별한 신호가 발생하면 그때 활동을 시작한다는 것이다. 

이 악성코드의 공격이 국내 통신사에서 관찰됐다는 경고가 있었다. 최근 글로벌 보안 업체 트렌드마이크에 따르면, 지능형 지속 위협(APT) 그룹이 지난해 7월과 12월 한국 통신사에 대한 BPF도어 악성코드 공격을 감행했다고 분석했다. 또 BPF도어 수법이 통신, 금융, 리테일 부문을 집중적으로 공격하는 데 쓰이고 있으며 한국, 홍콩, 미얀마, 말레이시아, 이집트에서 공격이 관찰됐다. 

다만, 중국 해커로 단정 짓기에는 이르다는 의견도 있다. 보안업계 관계자는 "BPF도어 개발에 사용되는 소스가 인터넷에 오픈소스로 공개돼 누구나 활용할 수 있게 됐다"면서 "현재로선 공격자를 단정짓기 어렵다"고 밝혔다. 

SKT 측도 "다양한 가능성을 열어두고 심층적으로 조사하고 있다"면서 "현재 조사 중인 사항이라 해킹 경로 등과 관련해선 확인이 어렵다"고 밝혔다.