[상반기 결산] SKT 해킹 사태, 우리 기업에 일어나지 않으려면

올 상반기 가장 큰 보안 이슈는 단연 SKT 해킹 사태다. SKT 해킹 사건은 평소 보안관리의 중요성 등이 매우 중요하다는 걸 깨닫게 해준 사건이다. 작은 문제들이 쌓여 결국 사고로 이어지기 때문이다. 이에 <The Tech Edge>는 해당 사건을 복기, 주요 문제점과 개선점에 대해 짚어보고, 기업과 기관에서 유사 사고가 발생하지 않도록 피해 예방에 대해 짚어봤다.

CISO 권한 문제
먼저 SKT 해킹 사고에 있어 주요 문제로 지목됐던 것 중 하나가 CISO 권한 문제다. 이 문제는 SKT내부에서도 크게 대두됐다. CISO가 전체 SKT 보안을 책임지는 위치가 아니다 보니 강력한 통제를 발휘하지 못했단 지적이다.

SKT 관계자는 "CISO가 보안 조치를 요구해도 인프라 담당 부서는 CISO와 동급이라 제대로 보안조치가 적용되지 않았다"며 "이러한 구조적 취약점은 운영과 서비스 품질에만 집중되고, 보안은 취약해지는 결과를 초래했다"고 밝혔다.

사고 이후 SKT는 CISO 권한이 약하단 지적에 CISO를 새롭게 선임했다. SKT 전체 보안에 대한 목소리를 낼 수 있도록 권한을 높였다.

2022년 서버 비정상 부팅...조사 미흡
2022년 SKT는 내부적으로 서버가 비정상적으로 부팅된 바 있다. 하지만 당시 제대로 된 진상 조사를 하지 않았던 것으로 드러났다.

SKT 관계자는 "당시 해당 이슈에 대해 제대로 분석하고 조치를 했더라면 이번 해킹 사고로 발전하지 않았을 수도 있다"며 아쉬워했다. 보안 관리의 중요성이 드러나는 대목이다.

내부망 안전 인식, '탈피' 해야
SKT 해킹 사건을 통해 드러난 중요한 점은 내부망이 안전하다는 인식에서 벗어나야 한다는 것이다. 또한 부실한 보안 관리는 해킹 사고의 주요 원인으로 지목된다.

처음 SKT 네트워크 구성 설계는 내부망과 외부망으로 구분됐다. 하지만 이후 필요에 따라 인터넷에 연결되는 시스템들이 등장하게 됐고 연결되는 시스템들은 제대로 점검되지 않고 방치됐다. 그런 시스템이 있었는지 조차 모르는 문제는 결국 해킹 사고로 이어졌다. 꾸준한 자산 식별, 시스템 논리적/물리적 보안 점검이 중요한 이유다.

특히 운영과 서비스 품질도 중요하지만, 정기적인 보안 점검이 매우 중요하다. SKT 경우 서버 운영체제는 오래된 버전을 사용했다. 취약점은 내부망이란 이유로 방치된 점이 문제점으로 지목됐다.

일각에선 패치 때문에 운영에 차질이 생긴다는 의견도 나왔다. 하지만 이는 핑계에 불과하다는 게 보안전문가들의 공통된 의견이다. 미리 이중 시스템을 준비해 놓고, 패치를 적용, 이후 충분히 테스트를 한 다음 교체하면 문제될 게 없다. 귀찮은 일이 보안에선 매우 중요하다는 의미다.

한 종류 악성코드, 88대 서버에서 동시 발견
이 같은 SKT 보안 관리가 부실했던 점은 해킹 사고 이후에도 드러났다. SKT 해킹사고 발생 후 전체 서버에 보안 솔루션을 설치하는 과정서 한 종류 악성코드가 무려 88대 서버에서 동시에 발견됐다.

악성코드는 실행되지 않았고, 오픈소스 악성코드라 해킹 사고 연관성은 빗겨갔다. 하지만 이는 공급망 보안 관리 부실로 드러났다. 협력 업체로부터 받은 특정 소프트웨어 설치본을 점검 없이 그대로 서버에 설치, 악성코드가 함께 설치된 것이다. 이번 해킹 사고와는 상관이 없지만 여기서 또 한번 SKT의 부실한 보안 관리가 드러난 셈이다.

단순 해킹범 아냐...국가 배후 공격 그룹 가능성 '농후'
이번 SKT해킹 사태는 공격자를 특정하지 않았다. 단순히 중국쪽에서 많이 사용하는 오픈소스가 주요 증거로 지목됐을 뿐, SKT 해킹 사태 공격 배후는 결국 드러나지 않았다. 대부분 해킹 그룹은 자신들이 만든 소스를 이용하기 때문에 프로파일링을 통해 대략적인 공격 그룹이 특징되는 반면, 이번 공격은 그렇지 않기 때문이다.

하지만 이번 공격의 특징은 대부분 오픈소스로 다양한 시도를 했다는 점, 오랜 시간 동안 해킹을 했다는 점을 미뤄볼 때, 단순한 해킹 그룹이 아닌 국가 주도의 해킹 가능성이 크단 의견이 지배적이다.

SKT 해킹 악몽...우리 기업에 일어나지 않으려면
올해 상반기를 강타한 SKT해킹 사태는 평소 보안 점검이 얼마나 중요한지 여실히 보여준 사건이다. 따라서 기업과 기관에서는 SKT 해킹 사고를 거울 삼아 물리적인 시스템 관리 뿐만 아니라 OS 및 SW 업그레이드, 취약점 점검 등 논리적인 시스템 관리가 꾸준히 진행해야 한다.

이어 공급망 보안 관리는 물론 이상 징후 등이 발생하면 철처히 점검 활동을 펼쳐야 한다. 문제 발생 시에는 즉각 시스템을 분리 조치하고, 다른 장비로 대체할 수 있는 가용성 측면을 고려해야 한다. 이와 함께 CISO가 보안 강화를 실현, 제대로 리더십을 발휘할 수 있도록 권한이 주어져야 한다.

Related Materials

• 통신사 해킹 사고 사후대응의 문제점과 입법과제 - 국가전략정보포털, 2024년
• SKT 해킹 사건, KT·LGU+는 안전할까? – 통신사별 보안 현황 분석, 2024년
• 통신사 해킹 사고 대응의 문제점과 입법과제 - 연구보고서-상세화면, 2024년

[속보] SKT유심정보 대규모 유출, 정부 ”회사 과실…위약금 면제 가능”

💡Editor Pick - SKT 서버 42,605대 조사 결과, 총 28대 서버서 33종 악성코드 확인 - 유심정보 25종, 총 9.82GB 분량 유출, 전화번호 등 주요 식별 정보 포함 - 사고 원인: 서버 계정정보 관리 부실, 과거 침해사고 대응 미흡 등 문제 과학기술정보통신부(장관 유상임)는 4일 SK텔레콤 침해사고에 대한

The Tech EdgeCheifEditor

SKT, 해킹 사태 이후 보안투자 5년간 7천억원 확대

💡Editor Pick - 고객 안심패키지 강화, ‘사이버 침해 보상 보증 제도’ 도입 예정 - 정보보호 투자 5년간 7천억원 확대, 내∙외부 보안 검증체계 강화 - 약정 고객 해지 위약금 면제 SKT(대표이사 사장 유영상)가 지난 4월 사이버 침해사고에 대한 막중한 책임감과 신뢰 회복을 위한 ‘책임과 약속’ 프로그램을 4일 발표했다.

The Tech EdgeCheifEditor

KISA 박용규 단장 “SKT 해커 목적, 정보수집과 거점 확보”

💡Editor Pick - 해커, 고객 관리망 침투 통해 고객 정보 추가 정보 수집 - 서버 옮겨다니며 침투 수단 계속 설치...거점 확보 목적 - 공격 표면 관리, 비정상 접근 탐지 및 차단, 네트워크 시스템 등 관리 중요 SKT 해킹 사태의 해커 목적은 정보 수집과 거점 확보란 분석이 나왔다. 박용규 한국인터넷진흥원

The Tech EdgeCheifEditor