SK텔레콤(SKT) 서버 해킹에 기존 보안 관제 기술로 막아내기 어려운 최신 기법이 사용된 것으로 확인돼 추가피해를 막기 위한 대책마련이 시급하다. 정보·금융당국은 정부와 공공기관, 금융기관 등에 해킹에 대비한 상시 보안 강화를 요구했다. 이런 가운데 당국은 대량의 개인정보가 유출된 것으로 보고 SKT에 대한 강한 징계조치를 예고했다.

최장혁 개인정보보호위원회 부위원장은 29일 브리핑에서 “이번 사고는 (2023년 과징금이 부과된) LG유플러스 사례와는 차원이 다르다”며 “그 사건은 과거 해킹 사실이 뒤늦게 확인돼 유출 규모·경로파악이 어려워 (강한) 처분이 어려웠지만 이번엔 그렇지 않다”고 말했다.

LG유플러스에 부과된 과징금은 68억원이었다. 하지만 2023년 개인정보보호법 개정으로 ‘위반 행위 관련 매출의 3% 이하’였던 과징금 기준이 ‘전체 매출액의 3% 이하’로 강화됐다. 지난해 SKT 매출이 약 18조원이라 최대 5000여억원의 과징금이 부과될 수 있다.

한편 과학기술정보통신부 민관합동조사단은 이번 해킹에 ‘BPF도어’ 계열 악성코드 4종이 쓰인 것을 확인했다. 중국 해커들이 즐겨 쓰는 BPF도어는 기존 보안 관제 기술로는 탐지가 어렵다.

전문가들은 최근 발견된 도구라 BPF도어 패치(보안 프로그램)를 갖춘 기업이 많지 않을 것으로 보고 있다. 특히 BPF도어는 오픈소스(개방형 소프트웨어)로 누구나 쓸 수 있어 해커를 특정하기가 쉽지 않고 코드를 쉽게 변경해 사용할 수 있어 변종도 출현할 수 있다.

한국인터넷진흥원(KISA)은 지난 25일 BPF도어 관련 보안 공지를 통해 “최근 주요 시스템을 대상으로 해킹 공격을 하는 사례가 확인돼 위협 정보를 공유한다”며 “기업에 자체 보안 점검과 침해 사고 발견 시 즉시 신고해 달라”고 주문했다.

해킹 실체가 드러나면서 정부와 정치권도 대응 수위를 높이고 있다. 국정원은 추가 피해를 막기 위해 전 부처와 공공·산하 기관을 대상으로 무선 통신망 기반 영상신호 전송, 교통신호 제어용, 원격계측·검침 등에 활용되는 4세대(LTE) 및 5세대(5G) 이동통신 공유기, 업무용 휴대전화·태블릿 등의 유심 교체와 유심보호서비스 가입을 권고했다.

금융위원회는 30일 금융 유관기관 점검회의를 개최하고 금융권 피해 예방을 위한 비상대응본부를 구성·운영하기로 했다. 비상대응본부는 종합대응반, 상시감시반, 사고대응반, 신고센터 등을 설치한다.

또 국회 과학기술정보방송통신위원회는 30일 유영상 SK텔레콤 대표를 불러 해킹 사고 경위, 피해 규모 등을 묻고 신속한 대책 마련을 요구했다. 앞서 과방위 소속 더불어민주당 의원들은 28일 입장문을 내고 SKT에 실질적 피해 구제를 위한 조치, 재발방지 대책을 강조했다.

이와 관련해 SKT는 유심 재고부족 등의 문제를 해결하기 위해 다음달 중순 유심 소프트웨어를 변경하는 ‘유심 포맷(초기화)’을 적용하겠다고 밝혔다.

장세풍 기자 spjang@naeil.com