글로벌 보안업체 "정황" 주장
KT "침투시도나 감염징후 없어"
VPN 솔루션 허점은 과제
[디지털포스트(PC사랑)=이백현 기자] SK텔레콤이 수년간 자사 서버에 설치된 악성코드를 인지하지 못해 가입자 유심 정보 수천만 건이 유출된 가운데, 유사한 공격이 KT에도 있었던 것 아니냐는 의혹이 일각에서 제기됐다. 그러나 KT는 본지 확인 결과, “BPF도어를 통한 공격을 받은 적이 없다”는 공식 입장을 밝혔다.
22일 정보기술(IT) 업계에 따르면 SK텔레콤 침해사고 민관합동조사단(이하 조사단)은 19일 SK텔레콤의 리눅스 서버 약 3만여 대 중 23대가 악성코드에 감염됐으며, 이 가운데 일부 서버에서 BPF도어라는 고도화된 백도어 악성코드가 확인됐다고 발표했다. 이 악성코드는 특정 신호(매직 패킷)를 수신해야만 활성화되며, 평소에는 잠복 상태로 존재하기 때문에 일반적인 보안 체계로는 탐지가 어렵다.
특히 조사단은 해당 악성코드가 2022년 6월 이미 SK텔레콤 시스템에 설치됐으며, 일부 서버에서는 고객 인증에 사용되는 IMEI 정보와 이름, 생년월일, 전화번호 등 민감한 개인정보가 임시 저장된 정황도 확인했다. 조사단은 “해당 기간의 로그 기록이 일부 존재하지 않아 정보 유출 여부를 단정할 수는 없지만, 우려는 여전히 남아 있다”고 밝혔다.
이러한 가운데, 글로벌 보안업체 트렌드마이크로는 지난달 발표한 보고서에서 BPF도어가 최근 몇 년 사이 한국을 포함한 아시아 및 중동의 통신사들을 겨냥해 사용됐다고 분석했다. 보고서에 따르면, 한국 통신사를 대상으로 한 공격은 2023년 7월과 12월 두 차례 발생한 것으로 파악됐다. 일각에서는 이 같은 내용을 근거로 KT 등 다른 통신사들도 유사한 공격을 받았을 가능성을 제기한 바 있다.
보고서를 발간한 트렌드마이크로는 중국과 연계된 지능형 지속 공격(APT) 해커 집단인 ‘레드 멘션’을 배후로 지목했다. 전문가들은 레드멘션의 활동이 주말이 아닌 평일에 이뤄지고 활동 시간대가 일정한 것을 감안할 때 국가 지원을 받는 공적인 조직일 가능성이 높다고 보고 있다.
KT 관계자는 본지에 “BPF도어를 통한 공격을 받은 바 없다”는 공식 입장을 밝혔다. 정보보안 분야 특성 상 확실치 않은 부분이 있지만, 현재까지 BPF도어를 통한 침투 시도나 감염 정황이 확인되지 않았다는 의미다.
다만 SKT와 KT 모두 같은 VPN(가상사설망) 회사의 솔루션을 이용했던 것으로 알려졌다. 익명을 요청한 보안업계 관계자는 “VPN 솔루션의 허점을 악용해 BPF도어를 심는 공격이 이뤄졌을 가능성을 배제하기 어렵다”고 전했다.
저작권자 © 디지털포스트(PC사랑) 무단전재 및 재배포 금지
![[단독] 공군수사단, 주력 전투기 부품 ‘무단 동류전용’ 사건…1년째 수사중[이현호의 밀리터리!톡]](https://newsimg.sedaily.com/2025/05/22/2GSWAGKE2T_1.jpg)
![개인정보위 "SKT 데이터, 싱가포르 흘러간 정황 확인" [디지털포스트 모닝픽]](https://www.ilovepc.co.kr/news/photo/202505/54495_148457_505.jpeg)
