SKT 해킹이 남긴 교훈 "리눅스도 안전지대 아니다"
주요 기업들이 SK텔레콤 해킹 사고를 반면교사 삼아 서버 환경을 재점검해야 한다는 의견이 나온다. 특히 안전지대로 여겨진 리눅스 환경을 점검해, 전반적인 서버 보안 체계를 개선할 때라는 목소리가 제기되고 있다.
26일 보안업계에 따르면, 민관합동조사단은 지난 14일까지 SK텔레콤 리눅스 서버 3만대를 네 차례 점검했고 다음달까지 윈도 서버와 기타 장비를 대상으로 점검을 진행할 예정이다. 이번 해킹 사고가 부실한 서버 보안 때문에 발생했다는 지적이 제기된 가운데, 문제가 된 서버를 중심으로 순차 점검을 진행하는 모습이다.
민관합동조사단과 개인정보보호위원회(이하 개인정보위) 조사 결과, 이번 해킹 사고는 가입자 유심(USIM) 정보뿐만 아니라 개인정보를 관리하는 서버에서도 발생했다. 해커는 2022년 6월 처음 악성코드를 심은 것으로 확인됐는데, 해커가 기록(로그)을 남기지 않은 기간에는 단말기식별번호(IMEI) 등 핵심 정보가 유출됐을 가능성이 점쳐진다. 서버 보안 체계가 무너질 경우, 정보 종류와 상관없이 모두 탈취 및 유출 대상이 될 수 있다는 의미다.
보안 전문가들은 이번 SK텔레콤 해킹을 계기로 주요 기업들이 자사 서버 보안 환경을 재점검해야 한다고 말한다. 특히 이번 SK텔레콤 해킹 사고가 리눅스용 악성코드 'BPF도어(BPFDoor)'로 발생했다는 점이 알려지면서, 리눅스 환경에 대한 개선이 필요하다는 의견에 힘이 실리고 있다.
김경하 제이앤시큐리티 대표는 지난 21일 '개인정보 정책포럼'에서 "최근 상황을 보면 우리나라에는 '해킹을 당한 회사'와 '해킹을 당한 줄도 모르는 회사' 등 두 종류가 있다는 오랜 말이 생각난다"고 말했다. 이어 "이전에는 리눅스 환경 자체가 악성 프로그램 감염 위험이 높지 않아 (보안) 프로그램을 설치·운영하지 않아도 큰 문제가 되지 않았다"며 "하지만 지금은 리눅스도 악성 프로그램의 안전지대라고 할 수 없는 상황"이라고 진단했다.
그간 리눅스는 윈도와 비교했을 때 사용자 기반이 적고 다양성이 높아, 해커들이 공략하기 상대적으로 어려운 환경으로 여겨져 왔다. 해커 입장에서 공격을 감행할 만한 동기가 크지 않았고, 그간 리눅스용 악성코드도 비교적 적게 개발돼 왔다. 그러던 중 리눅스가 주로 서버와 전문가용 환경에서 사용되기 시작하면서, 서버 공격용 익스플로잇이 등장했고, 일반 사용자 또한 늘어나면서 위협이 다양해지는 추세다.
리눅스 환경에 특화된 공격도 등장한 바 있다. 지난 2017년에는 킬디스크(KillDisk) 악성코드 변종인 리눅스 대상 랜섬웨어가 등장했는데, 해당 랜섬웨어는 리눅스 컴퓨터를 암호화한 후 부팅되지 않도록 만드는 특징을 보였다. 암호화키를 저장 혹은 전송하는 기능이 없어, 몸값(랜섬)을 지불하더라도 데이터를 복구하지 못하도록 하기도 했다.
SK텔레콤 해킹 또한 리눅스 환경을 겨냥한 공격이 고도화된 결과라는 평가가 나오는 이유다. SK텔레콤 서버 공격은 BPF도어라는 리눅스용 악성파일을 심는 방식으로 이뤄졌는데, 해당 백도어 악성코드는 2021년 PWC 위협 보고서에서 처음 공개됐다. 트렌드마이크로 등 글로벌 보안 기업에 따르면, 국내 통신사를 겨냥한 BPF도어 위협은 지난해 7월과 12월에도 발생했다.
최근 조사단 결과에 따르면, SK텔레콤 해킹 원인은 BPF도어뿐만 아니라 웹셸 등 다양하다. 특정 악성코드에 특화된 보안 대책만 세울 것이 아니라, 서버 보안에 대한 전반적인 개선이 요구되는 이유다. 서버보안은 엔드포인트 보안 등 다른 영역보다 비용이 많이 들거나, 폐쇄망 등 별도 관리가 필요해 투자와 책임 소재가 소홀한 경우가 다수다.
김 대표는 "많은 기업들이 윈도에 대해서는 백신 프로그램을 설치·운영하고 있지만, 안전조치 고시에서는 윈도와 리눅스를 구분하지 않고 있다"며 "개인정보 처리 시스템이 리눅스 환경에 있다고 하면, 리눅스에 대해서도 악성 프로그램을 함께 치료할 보안 운영을 적극 고려할 필요가 있다"고 제언했다.
제도 차원에서 기업에게 기준점을 세워줄 수는 있지만, 이를 모두 충족했다고 해서 완벽한 보안을 구현했다고 안심할 수 없다는 취지다. 글로벌 위협인텔리전스(TI) 업계 관계자는 "그간 국내 기업들은 법규 준수를 위해 어쩔 수 없이 규제를 지키는 방식으로 '보안'을 마주해왔다"며 "법 제도와 거버넌스 관리 체계와 같은 종합적인 대책도 있어야겠지만, 결국 중요한 것은 기업이 가장 기본을 지키는 것"이라고 말했다.
한편 SK텔레콤은 리눅스 보안을 강화하기 위해 백신과 더불어 엔드포인트위협탐지및대응(EDR) 시스템을 설치하고 있다. 류정환 SK텔레콤 인프라전략기술센터 담당(부사장)은 지난 23일 "백신·EDR을 깔아 나가고 있고, 전반적인 보안 강화에 대한 의견을 듣고 있다"고 밝혔다.
이 글이 문제 시 삭제 처리 하겠습니다.
