국내 1위 이동통신사 SK텔레콤이 역대 최악의 해킹사고로 곤욕을 치르면서 사이버 보안 강화 필요성이 커지고 있다. 사고 원인이 악성코드 침투로 드러남에 따라 엔드포인트탐지·대응(EDR), 공격표면관리(ASM) 보강 등이 재발방지책으로 거론된다. 다만 유심정보 암호화는 이동통신 특성상 해법이 아니라는 의견이 제기된다.

과학기술정보통신부 주관 민관합동조사단의 1차 분석결과에 따르면, 가입자 유심 정보를 관리하는 중앙서버인 '홈가입자서버(HSS)'가 악성코드에 감염됐다. 가입자 전화번호, 가입자식별키(IMSI) 등 유심(USIM) 복제에 활용될 수 있는 정보 4종 등이 유출됐다.

침투엔 BPF도어(BPFDoor) 계열의 악성코드 4종이 사용됐다. 리눅스 운용체계(OS)에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF(Berkeley Packet Filter)를 악용한 백도어다. BPF도어는 중국 해킹그룹 레드멘션(Red Menshen)이 개발한 것으로 알려져 있다. 중국 해킹조직은 악성코드를 개발한 뒤 오픈소스로 공개하는 경향을 보인다. 오픈소스 공개 이후 공격자를 특정하지 못하도록 하기 위함이다. 특히 BPF도어는 정상 시스템 프로세스처럼 위장해 탐지를 회피하고, 네트워크 트래픽을 위장해 방화벽 탐지를 우회하는 등 은닉성이 매우 높은 게 특징이다.

보안 전문가들은 EDR와 ASM을 통해 이상징후 탐지를 강화하는 한편 외부에 노출된 정보기술(IT) 자산을 관리할 것을 제언한다. EDR는 단순한 바이러스 탐지와 달리 시스템에서 일어나는 수상한 동작을 실시간으로 추적하고 경고할 수 있다. 실시간으로 사용자 인증을 처리하는 HSS와 같은 민감한 시스템은 무리하게 보안 솔루션을 설치하기 보다는 내·외부로 오가는 트래픽을 정밀하게 분석하는 EDR이 현실적 대안이라는 평가다.

사이버위협인텔리전스 기업 대표는 “HSS 같은 중요도 최상 서버는 내부 트래픽 전부를 어떤 서버와 연결돼 있는지 100% 파악하고 있어야 하기에 EDR, 네트워크탐지·대응(NDR) 등을 통해 트래픽 전수검사 프로세스를 갖추는 게 필요하다”며 “HSS와 연결된 외부 서버들이 있다면 그 틈을 탐고 침투할 수도 있어 열린 포트가 없는지 ASM을 수행해야 예방할 수 있다”고 말했다.

또 다른 사이버보안 기업 대표는 “보안 장치처럼 서버를 대상으로 무결성 검증만 실시했더라도 막을 수 있었을 것”이라고 말했다.

유심정보 암호화도 대표적인 보안 대책 중 하나다. 앞서 이준석 개혁신당 의원은 지난달 30일 국회 과학기술정보방송통신위원회에서 “(유심정보를) 해시값도 아니고 평문으로 관리됐다는 건 굉장히 충격적”이라고 지적했다. 개인정보에 해당하는 유심 정보를 암호화하지 않아 해킹 피해를 막지 못했다는 취지다. 일반적으로 데이터 암호화는 해킹 피해 확산 방지책으로 통한다. 해커가 암호화된 데이터를 탈취하더라도 이를 풀 복호화키가 없으면 훔친 데이터가 무용지물이 되기 때문이다.

다만 유심정보 암호화 조치는 신중할 필요가 있다는 의견도 나온다. 이번에 탈취된 유심정보 중 IMSI는 기술적으로 암호화하기 어렵다는 게 전문가들의 중론이다. 실제 세계 최대 이동통신 기술표준단체인 3GPP 표준에서도 IMSI나 인증키를 암호화해 저장할 것을 요구하지 않는다. 이는 단순한 설계상의 누락이 아닌 성능과 실효성을 고려한 결정이라는 평가다.

이동통신 보안 전문가인 김용대 한국과학기술원(KAIST) 전기 및 전자공학부 교수는 “이동통신 인증(AKA)은 HSS에 저장된 IMSI와 인증키 등을 기반으로 실시간 수행한다”며 “이 과정에서 IMSI는 반드시 원본값으로 사용돼야 하므로 해시 형태로 저장하는 것은 불가능하다”고 말했다.

그러면서 “IMSI를 암호화해 저장할 경우 인증할 때마다 복호화가 필요하며, 이로 인해 접속 지연이 발생할 수 있다”고 덧붙였다.

김 교수는 또 “복호화를 위해 암호화 키를 서버에 함께 저장해야 하며, 이 키가 유출될 경우 전체 보안이 무력화된다”며 “결국 '암호화 저장'만으로 보안을 보장할 수 없다”고 말했다.

조재학 기자 [email protected]