SK텔레콤에 대한 유심 정보 해킹 배후로 중국 정부의 지원을 받는 해커 집단인 ‘레드 멘션’이 지목되고 있다.
SK텔레콤 침해사고 민관합동조사단은 19일 정부서울청사에서 2차 조사결과 중간발표를 통해 BPF도어(BPFDoor) 및 파생 악성코드 공격으로 가입자 식별키 기준 약 2700만건의 유심 정보가 유출됐다고 밝혔다.
통신 업계에 따르면 SK텔레콤 서버에서 발견된 BPF도어는 3년 전 최초로 존재가 보고된 백도어 프로그램이다. PwC는 2022년 공개한 보고서를 통해 중국 해커 집단 레드 멘션이 중동, 아시아 지역 통신사를 공격하면서 BPF도어를 활용 중이라고 발표했다.
당시 보고서에서 레드 멘션은 자신들의 IP를 숨기고자 미리 해킹해둔 대만 소재 라우터를 경유해 BPF도어에 명령을 보낸 것으로 파악됐다. 미국 정보보안 기업 트렌드마이크로도 지난달 보고서에서 BPF도어의 숨겨진 컨트롤러로 중국의 지능형 지속 공격(APT) 그룹 레드 멘션을 지목했다.
트렌드마이크로는 2024년 7월과 12월 두 차례에 걸쳐 국내 통신사가 BPF도어 공격을 받았다고도 밝혔다. 글로벌 보안 기업 사이버리즌이 발표한 ‘소프트 셀 작전’ 보고서에서도 통신사를 목표로 한 공격은 장기간에 걸친 정밀 추적을 위한 기반 정보 확보가 목적이다.
장기간에 걸쳐 특정 인물의 통화 상대, 시각, 빈도, 위치정보를 수집하고, 이를 통해 행동 패턴과 사회적 관계를 몰래 알아낼 수 있다.
백악관은 지난해 12월 중국이 최소 8개의 미국 통신회사를 해킹해 고위 당국자와 정치인의 전화 통화, 문자 메시지 등 통신 기록에 접근했다고 발표했다. 또 미국뿐 아니라 수십 개 이상의 다른 국가들도 중국 해커들의 공격 대상이 됐다고 밝혔다. 이에 국내 통신업계에서는 이번 SK텔레콤 해킹 사태가 미‧중 사이버 전쟁의 연장선에 있다는 관측도 내놓는다.
미 연방수사국(FBI)도 지난해 10월 중국 당국의 지원을 받는 것으로 알려진 볼트 타이푼(Volt Typhoon)‧솔트 타이푼(Salt Typhoon)‧플랙스 타이푼(Flax Typhoon) 등 3개의 거대 사이버 스파이 활동 조직을 적발했다. 이들은 미국, 베트남, 루마니아 등 19개국에서 26만개가 넘는 소규모 사무실과 사물인터넷 기기에 악성 소프트웨어를 심는 방식으로 활동해온 것으로 나타났다.
월스트리트저널(WSJ)에 따르면 중국의 정보 수집 및 보안 작업 인원이 최대 60만명에 이를 수 있다고 추정하며 일부 중국 해커들은 정부 지원을 받는 것으로 알려졌다.
WSJ는 중국 사이버 담당 관료들이 지난해 12월 중국과 스위스에서 열린 미국과의 협상에서 미 항구와 공항 통신사 등 핵심 민간 기반시설들의 해킹을 언급하고 ‘미국이 대만을 군사적으로 지원한 결과’임을 시사했다고도 밝혔다.
SK텔레콤 해킹의 배후로 지목되는 레드 멘션도 3년 동안 국내 통신사에 악성코드를 심어 침투해 있었다는 점에서 중국 정부의 지원을 받는 해킹조직 아니냐는 분석이 나온다.
미국 연방통신위원회(FCC)는 지난 3월 “미국 국가 안보에 용납할 수 없는 위험을 초래한다고 판단돼 ‘커버드 리스트’에 포함된 중국 기업들의 미국 내 운영에 대한 대규모 조사를 시작했다”고 밝혔다.
커버드 리스트는 미국 국가 안보에 위협이 되는 기업 명단으로 FCC는 2021년 화웨이와 ZTE 등 중국 업체 등을 이 리스트로 지정했다.
