"SKT 추가 악성코드 8종도 기존 서버서 발견"

[아이뉴스24 서효빈 기자] SK텔레콤 해킹 사건과 관련해 최근 추가로 발견된 악성코드 8종이 사건 초기에 악성코드가 검출됐던 홈가입자서버(HSS) 3대에서 나온 것으로 확인됐다.

7일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원이 민관 합동조사단에 요청해 확인한 자료에 따르면 이번에 추가로 발견된 악성코드 8종은 모두 SK텔레콤의 HSS 서버 3대에서 탐지됐다.

이들 서버는 SK텔레콤이 가입자 정보를 분산 관리하기 위해 운용 중인 총 14대의 서버 가운데 일부로, 최초에 발견된 악성코드 4종 역시 이 서버들에서 검출된 바 있다.

민관 합동조사단은 이번에 발견된 악성코드의 유입 시점과 경위에 대한 포렌식 작업을 진행 중이며, 코드가 생성된 정확한 시점 역시 현재 확인 중이라고 밝혔다. 악성코드 생성 시점은 침입자의 내부 활동 시기를 파악할 수 있는 핵심 단서로, 이를 통해 SK텔레콤 내부망에서 해커가 언제 어떤 방식으로 움직였는지를 유추할 수 있다.

또한 이번에 악성코드가 발견된 HSS 서버 3대가 서로 연결돼 있었는지, 혹은 각각 독립된 폐쇄망에서 운용됐는지도 관건이다. 서버 간 연결이 있었을 경우 해커가 한 서버에서 다른 서버로 이동하며 공격을 확장하는 '측면 이동(Lateral Movement)'이 가능했을 수 있기 때문이다.

SK텔레콤 측은 문제가 된 서버들이 폐쇄망으로 분리 운영됐다고 밝혔으나 외부 접속 경로로 활용된 VPN 장비의 취약점을 통해 해킹이 이뤄졌을 가능성도 제기된다. SK텔레콤은 과방위 소속 김장겸 의원에게 관련 서버에 이반티(Ivanti)라는 외산 VPN 장비와 국산 시큐위즈 장비를 함께 사용하고 있다고 국회에 설명했다.