전문가들은 지금까지 드러난 해킹 방식과 피해 규모, 해킹 시점으로 봤을 때 중국 정부의 지원을 받는 해커 집단의 소행일 가능성이 크다고 본다. SKT서버가 처음 악성코드에 감염된 시점은 3년 전인 2022년 6월로 확인됐다. 해커가 최소 3년간 SK텔레콤 시스템에 잠입해 주요 가입자 정보 탈취를 노렸다는 얘기다.
일각에서는 피해에 따른 집단소송에 나서고 있다. 하지만 실익은 없는 소모전이 될 것이란 전망이 나오고 있다.
금전탈취 목적 아닌 국가 ‘사이버전’ 가능성이번 사태를 조사하고 있는 민관합동조사단(이하 조사단)이 발표한 2차 조사 결과에 따르면 SKT 서버 23대가 ‘BPF도어’ 악성코드 등에 감염된 것으로 확인됐다. 단말기고유식별번호(IMEI)와 개인정보를 저장하는 서버가 공격받은 정황도 새로 확인하면서 유출 피해 우려가 더욱 커졌다.
조사단에 따르면 악성코드 감염이 확인된 서버 가운데 두 곳에 29만여 가입자의 이름, 생년월일, 전화번호, 이메일, 그리고 단말기 고유식별번호(IMEI)가 저장돼 있었다. 문제는 이들 정보가 암호화되지 않은 채 평문으로 작성됐다는 점이다.
아직 의문점도 많이 남았다. 가장 큰 의문은 바로 해킹의 목적이다. 악성코드 잠복 기간이 3년에 달하지만 이번 해킹을 통해 해커들이 얻은 금전적 이익이 명확하지 않다. 다크웹 등에서 관련 개인정보가 거래되는 흔적도 현재로서는 찾아보기 어렵다.
전문가들은 이번 해킹이 국가 기반시설에 대한 공격일 가능성이 높다고 분석했다. 김승주 고려대 정보보호대학원 교수는 “SKT를 해킹한 집단의 목적이 돈이었다면 3년 동안 잠복해 있을 이유가 없다”며 “중국 해커조직처럼 국가의 지원을 받는 해킹 조직이 금전적 탈취가 아닌 정보 수집을 목적으로 해킹을 했다면 오랫동안 암약해 정보를 끄집어내는 게 목적이기 때문에 보안 기술이나 투자가 상당한 대기업도 이를 쉽게 발견하기는 어렵다”고 말했다.
SKT가 정보 유출이 발생한 뒤에야 침해 사실을 인지한 이유는 BPF도어의 특성 때문이라는 설명이다. BPF도어는 중국 해커 조직이 정부, 통신사, 금융사 등 국가기반시설을 공격할 때 주로 사용하는 수법이다.
BPF도어는 은밀히 침투하고 흔적을 숨기는 기능을 갖춰 탐지가 어렵다. 류정환 SK텔레콤 인프라네트워크센터장은 “BPF도어를 포함해 APT(지능형 지속위협) 공격은 해커가 침입한 후 정보를 유출하기까지 상당히 오래 걸리는 특징이 있어 침투 증적을 찾기가 상당히 어렵다”고 설명했다.
SKT와 비슷한 시기에 국내 다른 통신사나 플랫폼 기업, 국가 기관을 대상으로 한 BPF도어 해킹 공격이 이뤄졌다면 이들 역시 유출이 일어나기 전까지 탐지하기 어렵다는 얘기다.
지난해 미국 주요 이동통신사인 버라이즌, AT&T, T모바일 등도 같은 수법으로 해킹을 당했다. 당시 범행은 중국계 해커그룹 ‘솔트타이푼’의 소행인 것으로 알려졌다. 미국 정부는 이들이 정부 도청 시스템 정보에까지 접근했을 것으로 추정했다.
중국 측이 이를 시인한 적도 있다. 월스트리트저널은 지난해 12월 스위스에서 열린 미·중 협상에서 중국 사이버 담당 관료들이 미국 통신사, 공항 등 핵심 민간 기반시설들의 해킹을 언급하고 ‘미국이 대만을 군사적으로 지원한 결과’임을 시사했다고 보도했다. 소비자 집단소송, 이길 수 있을까
대규모 소송도 잇따르고 있다. 수십만 명의 가입자들이 손해배상 소송에 참여하고 10여 개 로펌이 경쟁적으로 소송을 제기하고 있는 상황이다. 법무법인 대건은 무료 소송을 내세워 16만 명의 참여자를 모집했고 노바는 유튜브 영상으로 2만 명을 끌어모았다. 로피드법률사무소는 1차로 9000여 명을 대리해 1인당 50만원, 총 46억원 규모의 소송을 제기했다. 대륜은 아예 그룹 총수까지 고발 가능성을 언급하며 공격 수위를 높였다.
그러나 피해자, 기업, 로펌 중 누구도 명확한 실익을 얻기 어려운 이 싸움에서 정작 이득을 보는 쪽은 해커뿐이라는 지적이 나온다.
집단소송에 참여한 피해자들은 많게는 20만 명에 이를 것으로 예상된다. 하지만 수사기관이 사건 발생 한 달이 지나도록 해커의 정체를 밝히지 못했을 정도로 사안이 복잡한 만큼 기업의 관련 규정 위반과 해킹과의 인과관계를 모두 입증하기는 어렵다는 의견도 있다.
개인정보 유출 소송은 피해자가 기업의 해킹 방지 과정이 위법하거나 중대한 과실이 있는지 입증해야 하기 때문이다.
손승우 법무법인 율촌 고문은 한 세미나에서 “개인정보보호법에서는 징벌적 손해배상을 규정하고 있지만 (피해자 측이 직접) 고의나 중대한 과실을 입증을 해야 한다”며 “이 부분이 쉽지 않다”고 말했다.
과거 승소사례가 없는 것도 불리하게 작용할 수 있다. 2012년 KT 해킹 사건에서는 가입자 870만 명의 개인정보가 유출됐고 17건의 손해배상 소송이 제기됐지만 대법원은 “KT의 과실을 인정하기 어렵다며 최종적으로 원고 패소 판결을 내렸다. 2008년 옥션 정보유출 사건, 2014년 카드3사 유출 사건도 마찬가지다. 피해자 수는 수십만 명에 달했지만 실질적 보상은 없거나 미미한 수준의 위자료가 전부였다.
법조계는 SKT 역시 2차 피해가 아직 확인되지 않은 상황에서 피해보상 청구가 가능한 범위가 정보유출 자체로 인한 정신적 피해인 위자료 수준에 그칠 가능성이 높다고 본다.
피해자, 기업, 로펌 중 누구도 명확한 실익을 얻기 어려운 이 싸움에서 정작 이득을 보는 쪽은 해커뿐이라는 지적이 나온다. 개인당 위자료가 높게 책정된다면 2500만 가입자에 대한 피해보상 액수를 기업이 감당할 수 없고, 위자료가 적게 책정될 경우 소송에 참여해 소비한 시간과 비용을 감안하면 실익이 거의 없기 때문이다.
반면 SKT 가입자를 대리하는 법무법인 대륜 측은 회사 측의 중대한 과실을 입증하면 승소 가능성이 있다는 입장이다. 대륜 관계자는 “이번 사건은 유심 비암호화, 로그 미보존, 보안 경고 무시 등 중대한 과실이 객관적으로 드러난 이례적 사례”라며 “민관합동조사단의 조사 결과가 입증자료로 활용된다면 징벌적 손해배상 인정의 첫 사례가 될 가능성이 있다”고 말했다.
이번 사건은 금전을 노린 단순한 해킹 사건이 아니라 국가 인프라 교란을 노린 ‘사이버전’의 일환인 만큼 국가 차원에서의 대책 방안이 나와야 한다는 목소리도 있다.
영국은 통신사를 규제하는 별도 법안을 마련해 유사 사태에 대비하고 있다. 미국은 지난해 주요 통신사들이 해킹당하자 국가 차원의 원인 규명과 재발 방지에 나섰다. 전문가들은 한국 역시 통신사 같은 인프라 기업의 통신망 보호에 대한 국가책임을 강화하는 쪽으로 정책이 전환돼야 한다고 말한다.
김 교수는 “기업의 보안 투자가 부족하다고 단정짓기보다는 국가가 제도적으로 대응 체계를 마련해야 한다”고 말했다.
김영은 기자 kye0218@hankyung.com
© 매거진한경, 무단전재 및 재배포 금지