단순한 금전 목적이 아닌, 한국 사회의 핵심 인프라를 겨냥한 조직적이고 장기적인 사이버 공격
SK텔레콤 유심 정보 해킹 사건의 배후로 중국 정부의 지원을 받는 해커 집단이 강하게 지목되고 있는 가운데 세부적인 해킹 기간 및 날짜가 드러났다.
이번 해킹은 단순한 금전 목적이 아닌, 한국 사회의 핵심 인프라를 겨냥한 조직적이고 장기적인 사이버 공격이라는 점에서 국가안보 차원의 심각한 위협으로 부상하고 있다.
복수 매체의 보도를 종합하면 이번 SKT해킹은 지난 2022년 6월부터 2024년 12월3일까지의 로그인 기록은 지워져있었다. 2024년 12월3일 이후 부터 4달간의 해킹 기록은 그대로 남아있었다. 그렇다면 2024년 12월3일 이후에는 해커들이 자신들의 로그인 기록을 지우지 못했다는 해석이 가능하다. 이날은 윤석열 전 대통령이 계엄을 선포하여 수원 선관위 연수원에 계엄군을 파견했던 날이다.
이번 SKT해킹사건 분석한 민관합동조사단에 따르면 해커가 악성코드를 심은 시점이 2022년 6월 15일이며 해커가 남긴 기록(로그)이 없는 기간에는 단말기 식별번호(IMEI) 등 핵심 정보 유출 도 일어났을 가능성이 높다. 또 SKT에 대한 해킹 공격이 3년이라는 장기간에 걸쳐 이뤄지다가 2024년 12월 3일까지 로그인 기록은 삭제되었으며, 그나마 남아있는 12월 3일 이후의 4달간 기록으로 해킹 집단과 그들의 방식을 세부적으로 조사할 수 있었던 것으로 보인다.
SKT에 관여한 해커들은 2024년 12월3일까지만 활동을 하고 그 이후에는 무슨 연유에서인지 활동에 제한이 있었던 것으로 보여진다.
민관합동조사단은 SKT 서버에서 중국 해커조직 ‘레드 멘션’이 주로 사용하는 악성코드 ‘BPF도어’가 발견됐다고 공식 발표했다. 이 악성코드는 최근 중동과 아시아 통신사를 겨냥해 사용된 것으로, 글로벌 보안업체들도 해당 조직의 배후에 중국 정부가 존재한다고 지적해왔다. 실제로 레드 멘션은 대만 등 해외 라우터를 경유해 흔적을 감추는 등 치밀하고 집요한 수법을 구사하며, 오랜 기간 국내 통신사에 잠복해 대규모 개인정보를 탈취해왔다.
중국 정부는 이미 미국, 베트남, 루마니아 등 전 세계 여러 나라에서 수십만 건의 사이버 공격을 감행해온 전력이 있으며, 미국 연방수사국과 백악관도 중국 정부의 조직적 지원과 연계된 해킹조직의 실체를 경고한 바 있다. 월스트리트저널은 중국 당국이 대규모 정보 수집 인력을 동원해 전 세계적으로 사이버 스파이 활동을 벌이고 있다고 분석했다.
이번 SKT 해킹 역시 금전적 요구 없이 통신 메타데이터와 행동 패턴 등 민감한 정보를 장기간 수집한 점, 그리고 미중 사이버 패권 경쟁이 격화되는 시점에 발생했다는 점에서, 중국 정부의 정치·군사적 목적이 개입된 국가 차원의 사이버전이라는 해석이 힘을 얻고 있다. 특히 대한민국의 선거에 해킹으로 확보한 데이터를 사용했을 수 있다는 가능성도 있어 선거 조작에 대한 우려와 의혹은 점점 커지고 있다.
국내 통신업계와 보안 전문가들은 “중국 정부의 사이버 공격은 단순한 범죄가 아니라, 한국과 미국 등 우방국의 사회 혼란과 안보 불안을 노린 전략적 공세”라며, 정부 차원의 전면적 해킹 위험성 점검과 정보보호 산업 육성, 그리고 국제 공조가 시급하다고 경고하고 있다.
윤석열 전 대통령의 비상계엄이 내려진 2024년 12월 3일 이후 해커들의 활동이 자취를 감췄다는 것은 향후 대한민국 선거의 해킹 가능성과 연관되어 크게 논란이 될 것으로 보인다.
인세영승인 2025.05.20
****************************
SK텔레콤 유심 해킹, 중국 정부 지원 해커조직 연루 의혹…2,700만건 정보 유출
SK텔레콤 가입자 약 2,700만 명의 유심(USIM) 정보가 유출된 대규모 해킹 사건의 배후로 중국 정부의 지원을 받는 해커 집단이 지목되고 있다.
중국 정부 지원 해커조직 연류
19일 정부서울청사에서 열린SKT침해사고 민관합동조사단2차 조사결과 중간발표에 따르면,이번 해킹에는‘BPF도어(BPFDoor)’및 파생 악성코드가 사용됐으며,이로 인해 가입자 식별키 기준 약2,700만 건의 유심 정보가 유출된 것으로 확인됐다. BPF도어는3년 전 처음 존재가 보고된 백도어 프로그램으로,최근까지도 국내 통신사 서버에서 발견됐다.
글로벌 보안업계와 정보보안 기업들은 이번 공격에 중국 해커조직‘레드 멘션(Red Menshen)’이 연루됐을 가능성에 무게를 두고 있다. PwC는2022년 보고서에서 레드 멘션이 중동과 아시아 지역 통신사 공격에BPF도어를 활용했다고 밝혔으며,미국 트렌드마이크로도 최근 보고서에서BPF도어의 컨트롤러로 레드 멘션을 지목했다.특히,레드 멘션은 해킹한 대만 라우터를 경유해 명령을 주고받는 등 흔적을 은폐하는 수법을 사용해온 것으로 분석된다.
업계 전문가들은 이번 해킹이 장기간에 걸쳐 특정 인물의 통화 상대,시각,빈도,위치정보 등 행동 패턴과 사회적 관계까지 정밀하게 추적하는 데 목적이 있다고 지적한다.이는 단순한 금전적 목적을 넘어 국가 안보를 위협하는 사이버 스파이 활동의 일환으로 해석된다.
국내 통신업계는 이번 사태가 미·중 사이버 전쟁의 연장선상에 있다고 분석한다.실제로 미국 백악관과 연방수사국(FBI)도 최근 중국 정부의 지원을 받는 해커들이 최소8개의 미국 통신사를 해킹해 고위 당국자의 통신 기록에 접근했다고 공식 발표했다.월스트리트저널(WSJ)은 중국의 정보 수집 및 보안 작업 인원이 최대60만 명에 이를 수 있다고 추정하며,일부 해커들은 정부의 직접 지원을 받는 것으로 알려졌다.
한 통신업계 관계자는“현재 정부가SKT해킹 사태의 원인 규명과 피해 보상에 집중하는 경향이 크지만,미국처럼 국가안보 차원에서 전면적인 해킹 위험성 점검과 정보보호 산업 육성이 뒤따라야 한다”고 강조했다.
이번SK텔레콤 유심 해킹 사건은 단순한 기업 해킹을 넘어,중국 정부의 지원을 받는 해커조직이 장기간 국내 통신망을 정밀하게 침투한 국가 안보 위협 사건으로 평가된다.정부와 업계는 피해 복구를 넘어,국가 차원의 근본적인 사이버 보안 강화와 대응 체계 마련이 시급하다는 지적이 나온다.
김영균 2025.05.20
**************************
SKT 해킹, 中 해커집단 소행설 무게…미국 등 전 세계 노려
SK텔레콤[017670]에 대한 유심 정보 해킹 배후로 중국 정부의 지원을 받는 해커 집단이 지목되고 있다.
SKT 침해사고 민관합동조사단은 19일 정부서울청사에서 2차 조사결과 중간발표를 통해 BPF도어(BPFDoor) 및 파생 악성코드 공격으로 가입자 식별키 기준 약 2천700만건의 유심 정보가 유출됐다고 밝혔다.
통신 업계에 따르면 SKT 서버에서 발견된 BPF도어는 3년 전 최초로 존재가 보고된 백도어 프로그램이다.
PwC는 2022년 공개한 보고서를 통해 중국 해커 집단 레드 멘션(Red Menshen)이 중동, 아시아 지역 통신사를 공격하면서 BPF도어를 활용 중이라고 밝혔다.
당시 보고서에서 레드 멘션은 자신들의 IP를 숨기고자 미리 해킹해둔 대만 소재 라우터를 경유해 BPF도어에 명령을 보낸 것으로 파악됐다.
미국 정보보안 기업 트렌드마이크로도 지난달 보고서에서 BPF도어의 숨겨진 컨트롤러로 중국의 지능형 지속 공격(APT) 그룹 레드 멘션을 지목했다.
트렌드마이크로는 2024년 7월과 12월 두차례에 걸쳐 국내 통신사가 BPF도어 공격을 받았다고도 밝혔다.
글로벌 보안 기업 사이버리즌이 발표한 '소프트 셀 작전' 보고서에 따르면 통신사를 목표로 한 공격은 장기간에 걸친 정밀 추적을 위한 기반 정보 확보가 주목적이다.
장기간에 걸쳐 특정 인물의 통화 상대, 시각, 빈도, 위치정보를 수집하고, 이를 통해 행동 패턴과 사회적 관계를 몰래 알아낼 수 있다는 것이다.
국내 통신업계에서는 이번 SKT 해킹 사태가 미·중 사이버 전쟁의 연장선에 있다는 분석을 내놓는다.
백악관은 지난해 12월 중국이 최소 8개의 미국 통신회사를 해킹해 고위 당국자와 정치인의 전화 통화, 문자 메시지 등 통신 기록에 접근했다고 발표했다.
또 미국뿐 아니라 수십 개 이상의 다른 국가들도 중국 해커들의 공격 대상이 됐다고 밝혔다.
미 연방수사국(FBI)도 지난해 10월 중국 당국의 지원을 받는 것으로 알려진 볼트 타이푼(Volt Typhoon)·솔트 타이푼(Salt Typhoon)·플랙스 타이푼(Flax Typhoon) 등 3개의 거대 사이버 스파이 활동 조직을 적발했다.
이들은 미국, 베트남, 루마니아 등 19개국에서 26만 개가 넘는 소규모 사무실과 사물인터넷 기기에 악성 소프트웨어를 심는 방식으로 활동해온 것으로 나타났다.
월스트리트저널(WSJ)에 따르면 중국의 정보 수집 및 보안 작업 인원이 최대 60만 명에 이를 수 있다고 추정하며 일부 중국 해커들은 정부 지원을 받는 것으로 알려졌다.
WSJ는 중국 사이버 담당 관료들이 지난해 12월 중국과 스위스에서 열린 미국과의 협상에서 美 항구와 공항 통신사 등 핵심 민간 기반시설들의 해킹을 언급하고 '미국이 대만을 군사적으로 지원한 결과'임을 시사했다고도 밝혔다.
SKT 해킹의 배후로 지목되는 레드 멘션 또한 3년이라는 긴 시간 동안 국내 통신사에 악성코드를 심어 침투해 있었다는 점에서 미뤄볼 때, 중국 정부의 지원을 받는 해킹조직 아니냐는 분석이 나온다.
미국 연방통신위원회(FCC)는 지난 3월 "미국 국가 안보에 용납할 수 없는 위험을 초래한다고 판단돼 '커버드 리스트'(Covered List)에 포함된 중국 기업들의 미국 내 운영에 대한 대규모 조사를 시작했다"고 밝혔다.
'커버드 리스트'는 미국 국가 안보에 위협이 되는 기업 명단으로, FCC는 2021년 화웨이와 ZTE 등 중국 업체 등을 이 리스트로 지정했다.
한 국내 통신업계 관계자는 "현재는 정부가 SKT 해킹 사태의 원인 규명과 피해 보상에 집중하는 경향이 크지만, 미국처럼 국가안보 차원에서 전면적인 해킹 위험성 점검과 정보보호 산업 육성이 뒤따라야 한다"고 전했다.
김현주 기자 2025.05.19
**************************
SK텔레콤 해킹, 전문가 “북한이 쓰던 중국 IP 대역과 일치”…일부에선 부정선거 연관 의혹도
SK텔레콤 해킹 사태의 배후를 두고 북한 연계설이 꾸준히 제기되고 있다.
문화일보 보도에 따르면 민간 보안 전문가들은 해커가 중국 IP 대역을 사용했지만, 이 IP가 과거 북한이 주로 활용하던 범위와 일치한다고 분석했다. 전문가들은 “IP를 추적하면 중국이 나오지만, 실제로는 북한이 중국을 경유해 공격을 시도한 것으로 보인다”고 설명했다. 아울러 이번 해킹에 사용된 악성코드 역시 과거 북한이 국내 해킹에 썼던 것과 유사한 유형이라는 분석이 나왔다.
특히 이번 공격은 해커가 로그 기록 등 흔적을 남기지 않는 방식으로 시도돼, 조사 당국이 뒤늦게 침입 사실을 파악한 점이 특징이라는 것이다. 이 때문에 현재까지는 포렌식 분석만으로 배후를 단정하기 어려운 상황이다.
정부 관계자는 “로그 기록이 남아 있지 않아 포렌식 분석에 한계가 있다”며, “정황 분석을 통해 배후를 추적할 가능성도 염두에 두고 있다”고 밝혔다. 실제로 미국 등 해외에서도 포렌식이 어려운 경우 정황 분석을 통해 해킹 배후를 추적하는 사례가 있다.
보안 업계에서는 SK텔레콤 해킹 경로와 수법이 과거 북한의 사이버 공격과 매우 유사하다고 지적한다. 한 안보 전문가는 “중국에서 해킹이 이뤄졌다는 주장도 있으나, 중국과 홍콩 등 여러 경유지를 통해 북한이 침투한 것으로 보인다”며 “이번 사건의 배후로 북한이 유력하다”고 말했다.
한편, 최근 민관합동조사단의 조사 결과에 따르면 SK텔레콤 해킹에 사용된 악성코드는 2022년 6월에 서버에 심어진 것으로 확인됐다. 이는 윤석열 정부 출범 직후의 시점과 맞물려, 해커 집단이 특정 시기를 노렸을 가능성도 제기되고 있다. 하지만 정부와 수사당국은 “아직 국내외 어디에서 공격이 시작됐는지 단정하기 어렵다”며 모든 가능성을 열어놓고 수사를 진행 중이다.
부정선거 연관 의혹도 제기
일부에서는 이번 SK텔레콤 해킹이 부정선거와 연관되었을 가능성에 대한 의혹도 제기되고 있다. 해킹 시점이 주요 정치 일정과 맞물려 있고, 통신 내역 등 민감한 정보가 유출됐을 가능성이 제기되면서, 해킹이 선거 관련 정보 수집이나 조작 시도와 연관된 것 아니냐는 관측이 나오고 있다. 다만, 현재까지 이와 관련된 구체적인 증거나 공식 발표는 없는 상황이다.
