SK텔레콤(SKT) 해킹 사태를 조사 중인 민관합동조사단(조사단)이 SKT 서버에서 현재까지 25종의 악성코드를 발견했다고 19일 발표했다. 이 중 24종은 중국 당국의 지원을 받는 것으로 의심되는 해킹 집단이 주로 사용하는 ‘BPF도어(Berkeley Packet Filter Door)’ 계열 악성코드로 확인됐다.

 

조사단은 이날 정부서울청사에서 중간조사결과를 발표하며 “총 23대의 SKT 서버 감염을 확인해 15대에 대한 포렌식 등 정밀분석을 완료했고, 나머지 8대에 대한 분석과 다른 악성코드 탐지 및 제거를 위한 5차 점검을 진행 중”이라며 “현재까지 BPF도어 계열 24종 등 총 25종의 악성코드를 발견해 조치했다”고 밝혔다.

BPF도어는 해커가 서버 데이터를 탈취하기 위해 정상적 인증이나 네트워크 감시 체계를 피해 외부에서 몰래 접근할 수 있게 설치하는 백도어(Backdoor·뒷문) 악성코드다. 은닉성이 높고, 장기간 평범한 파일로 시스템에 잠복해있다 해커가 보내는 특정 신호에만 활성화돼 탐지가 매우 어려운 것으로 알려져 있다.

BPF도어가 처음 알려진 건 2022년 글로벌 컨설팅 기업 PwC가 발표한 보고서를 통해서다. PwC는 중국 해커집단인 ‘레드 멘션(Red Menshen)’이 중동과 아시아 지역 통신사를 공격하며 BPF도어를 활용했다고 밝혔다. 이후 미국 보안업체 트렌드마이크로도 지난날 보고서를 통해 ‘지능형 지속 위협(APT·특정 표적에 대해 장기간 지속적으로 해킹을 시도하는 공격 유형)’을 계속해 온 레드 멘션이 BPF도어의 숨겨진 조작 주체며, APT 그룹들이 BPF도어의 변종 백도어까지 개발해 터키와 홍콩 등의 통신사를 표적으로 삼았다고 발표했다.


 

BPF도어를 사용하는 중국 해킹 집단은 향후 미국의 주요 동맹국인 한국을 사이버 공격의 주 목표로 삼을 가능성도 크다. 트렌드마이크로는 이미 지난해 7월과 12월 2차례에 걸쳐 한국 통신사가 BPF도어 공격을 받았다고 했고, 대만 보안 기업 ‘TeamT5’도 언론을 통해 중국 해킹 그룹이 계속해서 한국을 표적으로 삼았으며 앞으로도 공격 우선순위가 될 우려가 있다고 밝혔다. 또 미국 백악관 국가안전보장회의(NSC)는 “‘솔트 타이푼’ 등 중국 해커들이 미국 통신회사 최소 8곳을 해킹해 고위 공무원과 정치인들의 통화 기록과 메시지 등 기록에 접근했다”며 “중국 해커 활동 범위는 미국 통신사뿐 아니라 전 세계 수십개국”이라고 경고했다. 한국, 특히 통신사에 대한 공격이 더 거세질 수 있다는 의미다.

 

업계에선 통신사를 대상으로 한 중국 해킹 그룹의 공격 의도가 금전적 목적보단 정치적 목적일 확률이 높다고 보고 있다. 글로벌 보안 기업 사이버리즌(Cybereason) 보고서에 따르면 통신사 대상 공격은 장기간 정밀 추적을 위한 기반 정보 확보, 특정 인물의 통신 데이터(통화 상대와 빈도 등) 수집을 통해 개인 행동 패턴과 사회적 관계를 파악하는 것이 주목적이다.

 

 
이에 따라 국가 안보 차원 대응이 필요하다는 목소리도 이어지고 있다. 지난 7일 최태원 SK그룹 회장이 해킹 사태를 “보안 문제가 아니라 국방 (문제)이라고 생각해야 할 상황으로 본다”고 한 것도 이런 맥락에서 나온 발언으로 볼 수 있다. 통신 업계 관계자는 “이번 해킹과 관련해 민간 차원의 피해나 보상에 집중하는 경향이 있지만, 중국 해커차단을 위한 근본적 대책이나 정보보호 산업 경쟁력을 키우기 위한 국가적 전략을 마련하는 계기로 삼는 게 더 중요하다”고 주장했다.