|
25일 한국인터넷진흥원(KISA)이 지난달 말 ‘보호나라’ 홈페이지를 통해 공개한 침해사고 위협 정보에 따르면, 이번 해킹에 사용된 인터넷 주소(IP)는 165[.]232[.]174[.]130이다. IP 주소는 사이버 공격 시 해커가 이용한 경로를 추적하는 핵심 단서로, 기기 또는 서버의 네트워크 상 위치를 식별하는 데 사용된다.
경찰청과 국내 보안업계가 분석한 결과, 해당 IP는 디지털오션이 운영하는 싱가포르 리전(복수 데이터센터) 소속 클라우드 서버에서 운용 중인 것으로 파악됐다.
하지만 이 서버가 싱가포르에 있다고 해서 해커 조직이 싱가포르에 거점을 두고 있거나 싱가포르 국적일 것이라는 증거는 없다.
이는 최근 해킹 범죄 조직들이 해외 클라우드 서비스를 우회 경로로 빈번히 활용하기 때문이다. 계정 개설이 비교적 자유롭고 익명성이 보장되며, 물리적 위치를 숨긴 채 악성 명령 전송이나 탈취 데이터 저장 기능 등을 설정할 수 있는 장점이 있다. 클라우드 서버는 해커들에게 ‘실체 없는 지휘소’로, 흔적을 남기지 않으면서도 전 세계 어디서든 악성 행위를 실행할 수 있는 수단이 된다.
이러한 방식은 과거에도 반복돼 왔다. 대표적으로, 중국 정부의 지원을 받는 것으로 알려진 해킹 조직 APT41은 2021년부터 2022년까지 산업 전반을 겨냥한 공격을 수행하면서 해외 클라우드 인프라를 명령제어(C2) 서버로 활용했다. 이외에도 북한·러시아·이란 등의 정부 연계 해커 조직들이 유사한 방식을 사용해온 정황이 다수 보고된 바 있다.
정부는 다음 달 SK텔레콤 해킹 사건에 대한 공식 조사 결과를 발표할 예정이다. 그러나 공격자의 최종 목적지와 실체 규명은 장기화될 가능성이 크다.
한 보안당국 관계자는 이데일리와의 통화에서 “경찰이 싱가포르 사법당국에 협조를 요청한 상태지만, 해당 서버를 운영한 디지털오션이 미국 소재 기업이기 때문에 싱가포르 당국이 서버에 직접 접근하기는 어렵다”고 전했다. 이어 “유심정보 유출이 명확히 해킹에 기인한 것이라는 결정적인 증거가 부족해 미국과의 공조도 원활하게 진행되지 않고 있다”고 덧붙였다.
그는 또 “이번 사건의 실마리는 첫 경유지인 싱가포르 IP에 대한 조사가 이루어져야만 풀릴 수 있다”면서 “하지만 현재로선 해당 조사가 사실상 불가능한 상태라 수사에 큰 진전을 기대하기 어려운 상황”이라고 말했다.
한편, 과학기술정보통신부를 중심으로 구성된 민관합동조사단은 지난 19일 SK텔레콤의 총 23대 서버가 감염된 것을 확인했다고 밝혔다. 이 중 15대 서버를 정밀 분석한 결과 BPF도어(24종)과 웹셸(1종) 등 총 25종의 악성코드를 발견했다. 조사단은 내달 중으로 최종 조사 결과를 발표할 예정이다.