|
전날 과기정통부에 따르면 이번 민관합동조사단 2차 조사에서 기존에 드러난 BPF도어(BPFdoor) 외에도 추가적인 웹셸이 확인됐다. 웹셸은 웹 서버의 취약점을 이용해 공격자가 원격에서 서버를 제어하고 명령을 실행할 수 있도록 만든 악성 스크립트 파일이다. 해커가 SKT 서버를 최초 침입하는 과정에서 웹셸을 사용해 내부 권한을 획득하고 백도어 악성코드인 BPF도어를 설치한 것으로 조사됐다.
민관합동조사단의 2차 조사에서 따르면 악성코드가 최초 설치된 시점은 2022년 6월로, 악성코드인 웹셸을 통해 해킹이 시작된 것으로 추정된다. 현재까지 발견·조치된 악성코드는 웹셸을 1종을 포함해 총 25종(BPFDoor계열 24종 + 웹셸 1종)으로 확인됐다.
SKT는 비정상인증차단시스템(FDS)과 유심보호서비스 등을 통해 이중, 삼중 보호막을 만들어 정보 유출 가능성이 없다는 입장이다. 2022년 이후 부터 접수된 VOC(고객의 소리) 39만건을 전수한 결과에서도 유출 추정되는 내용이 없다고 했다.
이에 이번 SKT 해킹이 개인정보 유출이 아니라 사이버전을 겨냥한 중국 해커집단의 소행에 무게가 실리고 있다.
지난 19일 브리핑에서 류제명 과기정통부 네트워크정책실장은 “(이번 해킹이) 경제적 목적으로 특정 데이터베이스를 목표로 해 탈취하고 다크웹 등에서 거래를 시도하는 양상과는 다르다”며 “해커의 서버 침입 목적 등을 면밀하게 들여다보고 있다”고 했다.
이어 류 실장은 “BPF도어 악성코드 자체의 특성이 굉장히 복잡한데 자료 탈취의 목적인지 다른 목적인지, 다른 목적이라면 남아 있는 악성코드가 그 서버에 관심이 있어 들어온 것인지 다음 단계의 공격 거점으로 삼고자 한 것인지 굉장히 시나리오가 다양하다”고 언급했다.
SKT는 현재로서는 누구의 소행인지 밝히기 어렵다고 했다. 그러면서 통화정보 등 개인정보를 해커를 빼내갈 수 없다고 선을 그었다. 류 부사장은 “통화기록 등 정보는 폐쇄망, 분리망이어서 빼낼 수 없고 암호화해서 이중, 삼중으로 보안을 해놨다”며 “목적이 금전적이냐 아니냐는 원인이 나오지 않은 상황에서 가능성을 열고 봐야 한다”고 말했다.