KISA가 본 SKT 해킹 사고의 교훈 – 바이라인네트워크

박용규 단장, 조사단 입장에서 본 SKT 사고 원인 집중 분석…“막을 수 있었던 사고”

“전조증상의 있었고, 분명히 막을 수 있는 사고였습니다.”

한국인터넷진흥원(KISA)은 9일 서울 용산에서 열린 제14회 정보보호의 날 기념 컨퍼런스에서 SK텔레콤(SKT) 해킹 사고의 원인을 정밀하게 분석한 내용을 일부 공개했다.

이날 ‘Time & Incident Response‘라는 주제로 발표한 박용규 KISA 침해사고대응단장은 “SKT 해킹 사고는 분명히 막을 수 있었던 사고였다”며 “2022년부터 포착된 전조 증상을 놓쳤고, 공격자에겐 장기간 침투할 수 있는 환경이 조성됐다“고 강조했다.

사고 조사에서 KISA는 ▲공격 표면 관리 미흡 ▲비정상 행위에 대한 탐지 체계 부재 ▲네트워크·시스템 자산 관리 미흡 ▲보안 전문 인력과 투자 부족 4가지의 핵심 취약점을 지적했다.

박 단장은 “공격자가 은닉성이 강한 악성코드를 반복적으로 사용하며 장기적으로 침투한 흔적이 있었지만, 내부 보안 체계는 막아내지 못했다“며 “게다가 폐쇄망으로 코어망과 연결된 주요 내부망에 공인 IP가 설정돼 있어 실제로는 폐쇄망의 역할을 하지 못했다”고 설명했다.

폐쇄망에 공인 IP가 설정돼 있다는 것은, 원래 외부 인터넷과 완전히 단절돼 있어야 할 내부망이 실제로는 외부와 연결 가능한 상태였다는 것을 뜻한다. 사이버보안에서는 네트워크 설계상 치명적인 실수로 간주된다.

박 단장은 “특히, 공격자는 관리망과 고객정보망, 코어망에 이르기까지 내부망을 점진적으로 장악하며 약 2695만건의 유심 정보(2.8GB)를 탈취했다“며 “이 과정에서 디지털 포렌식으로 악성코드 33종이 발견됐으며 일부는 과거에도 사용된 코드로, 같은 공격자가 지속적으로 침투했을 가능성을 뒷받침한다“고 진단했다.

이어 “2022년 1월에 이미 비정상적인 내부 행위가 감지됐지만 적절한 대응이 이뤄지지 않았고, 동일한 계정·비밀번호를 반복 사용한 점, 충분한 로그가 보관되지 않아 조사에도 한계가 있었던 점도 문제”라고 밝혔다.

박 단장은 “기업들이 사고 이후 조치만으로는 충분하지 않으며, 구조적 보안 체계 개선이 필요하다“며 “전통적인 방화벽, 탐지 시스템만으로는 은닉형 침투를 막기 어렵다. 현대 보안 환경에서는 내부 자산 식별과 선제적 대응 체계, 망분리 원칙을 철저하게 이행하는 것이 기본이 돼야 한다“고 말했다.

끝으로, 그는 “이 사고는 아직 끝나지 않았다. 아직도 (조사와 사후 대응이) 진행 중“이라고 강조하며 발표를 마무리했다.

한편, 이날 열린 제14회 정보보호의 날 기념식에는 류제명 과학기술정보통신부 제2차관, 이상중 KISA 원장 등 정부 주요 인사와 보안업계 관계자들이 참석해 디지털 신뢰와 사이버 보안 협력의 중요성을 논의했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network