2023년 LG유플러스 개인정보 유출 사건 해커 특정되지 않아미국 AT&T, T모바일 등 대규모 해킹 사건에서도 비슷한 양상해커 추적 쉽지 않아 흔적, 패턴으로 추정하는 수준으로
  • ▲ ⓒChatGPT
    ▲ ⓒChatGPT
    사상 최악의 해킹 사건으로 꼽히는 SK텔레콤 사이버 침해 사건의 배후를 두고 온갖 추측이 무성하다. 이번 해킹 사건의 목적과 배경, 이유가 베일에 가려져 있기 때문이다. 이로 인해 중국의 해커그룹의 사이버전의 일환이라는 추측부터 북한 해커조직의 소행이라는 관측까지 나오는 상황. 

    현 시점에서 명쾌한 것은 아무것도 없다. 그도 그럴 것이 흔적을 거의 남기지 않는 해킹사건의 특성상 범인이 특정되는 사례는 많지 않다. 과거 이동통신사 등 주요 기업에 대한 해킹에서 해커가 특정되는 경우는 오히려 손에 꼽힌다. 

    23일 IT업계에 따르면 최근 SKT 해킹 사건의 배후에 대한 다양한 추측이 나오고 있지만 민관합동조사가 완료된 이후에도 실체가 밝혀질지는 아직 미지수다. 악성코드를 통해 서버에서 이뤄지는 해킹 사건의 특성상 정보의 최종 획득자를 특정하기가 매우 어렵기 때문이다.

    단적인 예가 지난 2023년 LG유플러스 해킹 사건이다. 당시 LG유플러스는 해커에 의해 개인정보 30만건이 유출된 것으로 파악됐지만 이를 주도한 해커그룹의 실체는 전혀 드러나지 않았다. 다크웹에 LG유플러스 가입자 정보를 판매한다는 신원 미상의 게시물이 유일한 단서였다. 그러나 당시 조사에서 해커의 정체는커녕 데이터의 유출 경로도 밝혀내지 못했다. 

    미국 이동통신사의 경우에도 비슷하다. 미국 1위 통신사인 AT&T는 2023년 3월 서드파티 침해 사고로 900만명의 고객 이름, 전화번호, 회선 수, 통화량, 요금제 등의 정보가 탈취됐지만 범인을 특정하지 못했다. 이 데이터 역시 다크웹에 판매되던 정황만 파악된 정도다.

    그렇다보니 피해를 최소화하기 위해 해커의 협박에 응하는 경우도 있다. AT&T는 이듬해 다시 해커의 공격을 받았는데, 당시 AT&T는 1억1000만명에 달하는 가입자 대부분의 데이터가 유출됐다. 특히 여기에는 고객통신기록, 즉 이동통신 및 유선고객들의 전화 통화와 문자 기록까지 포함됐다. 당시 AT&T는 해커들에게 민감정보를 삭제해주는 대가로 40만달러(5억5000만원) 상당의 비트코인을 지급했던 것으로 전해진다.

    지난 2021년 미국 2위 통신사업자인 T모바일(T-Mobile US, Inc.)의 해킹 사건은 그나마 해커가 특정되는 경우다. 당시 T모바일은 전·현 고객 및 잠재 고객 7660만명 이상의 이름과 생년월일, 사회보장번호, 운전면허증 번호 등이 모두 해커에 의해 유출됐는데, 당시에도 다크웹에 T모바일 고객 데이터 판매 시도가 있었지만 범인을 잡지 못했다. 이후 IRDev라는 가명을 쓰는 20대가 자신의 범행이었다고 밝히면서 배후가 드러났다.

    실체를 드러내기 힘들다보니 해커그룹의 대부분은 추정의 영역에 머문다. 

    실제 미국은 이동통신사 해킹사건 중 상당 수에 중국 정부 국가안전부가 운영하는 것으로 추정되는 해커그룹 ‘솔트 타이푼(Salt Typhoon)’이 관여된 것으로 추정되는 중이다. 이들의 공격 방식은 통신 인프라를 침해해 민감한 통신 데이터를 접근하는 것이다. 이러한 데이터는 정보 수집 및 사이버 스파이 활동에 활용되는 것으로 전해진다. SKT에 대한 해킹이 중국 소행이라는 추정도 중국 해커들이 주로 사용하는 BPF도어(BPFDoor)라는 악성코드를 썼기 때문이다. 

    다만 국내에 한정한다면 북한에 의한 해킹 사건이 더 많다. 지난 2021년 한국원자력연구원, 한국항공우주산업, 대우조선해양, 서울대학교병원에 대한 해킹이 대표적이다. 이 해커를 주도한 곳은 북한의 해킹조직 ‘김수키’의 활동이었던 것으로 조사됐다. 킴수키는 북한의 국가 지원 해킹 그룹이다. ‘김수키’는 우리 정부에 의해 지난 2023년 독자 대북제재 명단에 올라있다. ‘김수키’와 더불어 악명 높은 북한의 해커조직 ‘라자루스(Lazarus)’도 2023년 대한민국 법원 전산망 해킹, 2019년 업비트 해킹을 주도했던 세력으로 추정되고 있다.

    IT업계 관계자는 “해킹 사건에서는 IP 추적 등을 통해 공격자의 흔적을 역추적하게 되는데  VPN 등을 통해 IP를 숨기고 우회하기 때문에 추적이 매우 어렵다”며 “이 때문에 공격 패턴, 흔적을 분석해 해커그룹을 추정하는 사례가 대부분”이라고 전했다.

    이 때문에 SKT 해킹 사건에 대한 배후 추적 과정에서 범인을 특정하기 어려우리라는 우려도 상존한다. 물론 가능성이 없는 것은 아니다. 지난 2024년 미국은 북한 국적의 림종혁(Rim Jong Hyok)을 해킹과 돈세탁 공모 등의 혐의로 체포하는데 성공하기도 했고 앞선 2023년에는 랜섬웨어로 협박을 일삼던 러시아 해커의 체포에 성공하기도 했다.