전문가 “SKT 해킹 경로, 북한이 쓰던 중국IP 대역과 일치”

해커가 로그 기록 등 흔적을 남기지 않는 해킹을 시도하다 감시망에 잡힌 SK텔레콤 해킹 사태는 현재까지 포렌식 분석만으로 배후를 단정할 수 없는 상황이지만 해킹 정황상 배후가 북한일 것이란 지적이 속속 이어지고 있다. 특히 해커들이 침입한 흔적을 조사 당국이 뒤늦게 찾아내야 하는 형국인데 주로 민간 보안업체를 중심으로 북한 배후설 주장이 나오고 있는 것이다.

한 정보보안업계 관계자는 21일 “해킹의 경로를 분석할 때 중국이 나오는데 중국을 배후로 의심하기도 하지만 사실은 북한 측이 중국 쪽을 경유해 들어오는 것”이라며 “IP를 계속 추적해 보면 중국이 나오는데 그것이 북한이 사용한 IP 대역”이라고 말했다. 그는 “악성코드 종류도 북한이 우리를 해킹할 때 사용했던 악성코드와 유사하다”고 말했다. 다만 이번 해킹 공격에서 가장 우려스러운 점은 로그 기록이 남아 있지 않다는 점이다. 박기웅 세종대 정보보호학과 교수는 “업계에서 ‘기록되는 만큼만 보인다’고 말하는 것처럼 정보도 기록이 있어야 보이는 것”이라며 “기록이 없으면 혐의 입증 자체가 어렵고 피해 보상도 마찬가지”라고 지적했다.

따라서 정보가 유출된 시점으로 추정되는 2022년 6월 15일에서 2024년 12월 2일까지의 로그 기록이 남아 있지 않은 만큼 포렌식만으로는 해킹 경로나 배후를 분석하기 어려울 것으로 예상된다. 이에 정부도 정황 분석을 통한 배후 추적 가능성을 염두에 두고 있다. 정부 관계자는 “미 연방수사국(FBI) 등 해외의 경우를 봐도 포렌식 분석에 한계가 있을 경우 정황 분석을 통해 해킹 배후를 추적한다”며 “다만 이는 조사의 영역이 아닌 수사의 영역인 만큼 현재의 민관합동조사단에서는 실행하기 어려운 일”이라고 말했다.

정황 조사에 들어갈 경우 이번 사건의 배후는 더욱더 북한 소행으로 귀결될 가능성이 높아질 것으로 예상된다. 그동안 국내에서 벌어진 각종 해킹, 사이버테러 사건이 북한 측 소행으로 판단된 사례가 있었고 최근 외국에서도 북한의 사이버 공격에 대한 주의보가 제기됐기 때문이다.

한편 최근 민관합동조사단 2차 조사 결과 SK텔레콤 해킹에 사용된 악성코드가 2022년 6월에 심어진 것으로 확인되면서 해커 집단이 해당 시점을 타기팅한 배경에도 관심이 쏠리고 있다. 당시는 윤석열 정부가 출범한 지 한 달 남짓 흐른 시점이다. 김승주 고려대 정보보호대학원 교수는 “통신사에서 가장 중요한 정보는 결국 통화 상세 내역(CDR)인데, 이 산업군을 겨냥한다는 건 정보 수집 차원의 일환으로 공격한다는 뜻이며 해커 집단도 오랫동안 암약한다는 특징이 있다”고 말했다. 이번 해킹 수법으로 알려진 BPF도어가 2021년 하반기를 기점으로 이듬해 집중 유행한 만큼 특정 기간과 연계하기에는 개연성이 떨어진다는 시각도 있다. 다만 분명한 점은 지난해 12월 중국이 최소 8개 미국 통신사를 해킹해 고위 당국자와 정치인의 통화·문자메시지 등 통신기록에 접근한 것으로 드러난 만큼 이번 사태도 국가 간 사이버 공격 관점으로 접근할 필요가 있다는 지적이 나온다.

박준희 기자, 구혁 기자, 김성훈 기자