SKT 유심(USIM)정보 유출사고, 제로트러스트는 해결책이 될 수 있을까?

2e_consulting -

2,300만명의 가입자와 187만명의 알뜰폰 가입자를 보유한 SK텔레콤의 시스템이 해킹을 당하면서 고객 유심(USIM) 정보가 유출되는 최악의 사고가 발생하였습니다. SK텔레콤은 지난 4월 19일 밤 11시경 악성코드에 의해 사내 시스템에서 고객 유심 정보가 유출된 정황을 발견하고 20일에 한국인터넷진흥원(KISA), 22일에 개인정보보호위원회에 신고하였습니다.

이번 SKT의 유심 유출의 문제가 된 시스템은 가입자 전화번호와 고유식별번호 등 유심 정보와 음성 서비스 제공에 필요한 정보 등을 통합 관리하는 ‘홈가입자서버’(HSS: Home Subscriber Server)입니다.

HSS는 가입자 정보를 관리하는 중앙집중화된 데이터베이스로, 사용자 등록 및 변경관리, 인증, 권한부여, 과금 등 광범위한 가입자 정보를 통합 관리하는 시스템입니다. 유출된 것으로 추정되는 정보는 IMSI(이동가입자식별번호)와 IMEI(단말기고유번호), ICCID(유심 일련번호), 유심 인증키 등 디지털 신분에 해당하는 정보입니다. 이 자체로는 개인정보라고 보긴 어렵지만 이 유심 정보와 연결되는 사용자 전화번호와 이름 등 개인정보를 통신사가 보유하고 있고 내부망에 대한 공격 방식과 공격범위를 아직 명확히 파악하지 못한 상태여서 위험성이 더 높은 상태라고 할 수 있습니다.

1. 만약 제로트러스트 아키텍처가 도입되었다면?

이번 사태에 대해 보안업계에서 추정하는 공격 방식은 크게 2가지인데요. 첫째는 해커가 주변 서버나 시스템에 대한 접근 권한을 얻어 조금씩 권한을 높여가며 상위 시스템으로 횡적이동을 통해 공격범위를 넓혀가는 방식이고, 둘째는 내부 직원의 실수나 고의일 가능성도 존재합니다.

사실 SKT 정도의 내부 중요 시스템이라면 망 분리 등을 통해 외부에서 접근하는 것 자체를 불가능하게 만들어 놓았을 것이라는 추측입니다. 반면, 과거 다른 경로로 내부에 심겨져 잠복해 있던 악성코드가 발동된 것이라는 분석도 나오고 있습니다. 이런 추정 역시 강한 보안 조치가 된 홈가입자서버(HSS)를 뚫기 쉽지 않다는 점에 근거를 두고 있습니다.

한국인터넷진흥원은 SKT유심 유출 사고 발생 이전에 ”최근 주요 시스템을 대상으로 해킹 공격하는 사례가 확인되어 위협 정보를 공유한다“며 공격 IP와 악성코드 해시값 및 파일정보 등을 공개하였습니다. 이는 BPF(Berkeley Packet Filter )도어 악성코드로 리눅스나 솔라리스 시스템을 목표로 한 스텔스형 백도어 악성코드인데 2017년 이후 5년가량 탐지되지 않다가 2021년 다시 발견되었습니다. 보안업체인 트랜드마이크로는 최근 발간한 보고서에 한국과 홍콩, 미얀마, 말레이시아, 이집트의 통신.금융.소매 산업과 기업을 대상으로 한 BPF 도어 공격이 관찰됐다고 밝혔습니다. KISA 공지에서 SKT를 언급하진 않았지만 BPF 도어 관련 내용을 다뤘다는 점에서 해당 사건의 공격기법에 사용되지 않았나 하는 추측을 하고 있습니다.

<한국인터넷진흥원 공지 전문>

출처: 한국인터넷진흥원, 보호나라

그렇다면 어떠한 장치, 사용자 또는 네트워크 세그먼트도 신뢰하지 않고 잠재적 위협 요소로 처리하는 보안 모델인 제로트러스트를 도입했다면 이번 사태를 방지할 수 있었을까요? 현재 밝혀진 내용만으로 판단하였을 때 제로트러스트 아키텍처를 통해 해당 유출 사태를 완벽하게 차단할 수 있었다고는 단언할 수 없습니다.

그러나, 침투 이후의 Lateral Movement(횡적 이동), HSS 서버 접근 및 데이터 탈취 단계에서는 권한 최소화, 사용자 행위기반 모니터링, 기기 정보 변경이 일어났을 경우 추가 인증을 통한 디바이스 신뢰성 평가 등 제로트러스트 아키텍처를 적용했다면 피해 규모를 현저히 줄이거나 조기에 탐지했을 가능성은 매우 높다고 할 수 있습니다. 특히, HSS같은 핵심 시스템은 별도의 인증체계 강화 (예, 서버 단말 별도 인증, 다단계 접근검증)를 도입하여 피해를 상당히 줄일 수 있었을 것입니다.

<기존 경계 기반 보안과 제로트러스트 개념 비교>

출처: 한국인터넷진흥원, 제로트러스트 가이드라인 1.0

2. 개인들에게 어떤 피해가 예상되며 어떻게 대응해야 할 것인가?

지난 4월27일 한국인터넷진흥원 KISA에서는 “유심 무상 교체”, “유심보호서비스” 관련 검색 결과 노출되는 사이트가 도박사이트로 연결되는 사례 확인하였으며, 이와 관련된 피싱 및 스미싱 주의 공지를 하였습니다.

본 사건들은 SKT 유심정보 유출 이후 일어난 사건으로 기존 SKT 이용자들에게 직간접적인 피해를 동반할 것으로 예상되고 있습니다. 주요 발생이 예상되는 피해는 다음과 같습니다.

  • 심 스와핑 (SIM Swapping) : 유심복제를 통해 문자메시지 및 인증 전화를 가로채 본인 인증을 수행하고 계좌 인출 및 대출을 수행하는 등 직접적인 명의 도용으로 인한 피해 발생 가능
  • 유심 품귀현상 상황에서 유심 무료 교체를 빌미로 피싱을 유도하는 스미싱 사기 등의 2차 피해 예상
  • 공격자가 타인의 IMSI정보를 이용, 마치 자신의 것처럼 네트워크에 접속하는 스푸핑(Spoofing) 공격으로 전화 내용이나 문자정보, 위치추적, 과금 피해 등이 예상

인터넷뱅킹은 로그인 이후에도 공인인증서, OTP, 계좌 비밀번호 등 추가 인증 절차를 요구하기에 SKT가 본인인증정보를 보유하지 않는 한 실제적인 피해는 적을 수 있습니다. 그러나, 피해 발생 가능성이 제로가 아닌 이상 실제 피해가 발생하면 금전적으로도 정신적으로도 많은 영향이 발생하는 만큼 SKT 뿐만 아니라 이용자들 개개인의 대처 또한 중요할 것으로 사료됩니다. 현재로선 유심을 교체하는 것이 가장 확실한 방안이지만 유심 품귀 현상으로 교체가 어려운 상황이므로 그 외에 개인 수준에서 대처할 수 있는 다음과 같은 방안을 최대한 빠르게 적용할 필요가 있습니다.

  • T world 유심보호서비스
    SKT 측에서 공식적으로 안내한 방법으로, 휴대폰을 개통할 때 등록한 IMEI와 접속을 시도한 기기의 IMEI를 대조하여 일치하지 않을 경우 망 접속을 불허하는 방식, 유심보호서비스 가입자의 피해를100% 보장한다고 공표한 만큼 최우선 가입 대상
  • 명의도용방지 서비스
    신청자의 통신사 신규 개통 및 명의 변경을 제한하는 서비스로 카카오뱅크, PASS 등에서도 지원합니다. 근본적인 보호는 불가능하기에 위의 서비스와 병행할 필요가 있음
  • 유심 스와핑으로 의심되는 증상 대처

대표적인 증상은 전화나 문자가 제대로 송수신되지 않거나 무선 네트워크 접속 불가 등의 메시지가 뜨는 경우 누군가 유심칩을 발급받는 과정일 것이므로 즉시 이동통신사에 연락해 전화 회선 자체 일시 정지 요청

근본으로는 유심 교체가 필요하고 아직SKT 홈가입자서버(HSS)에 어떤 영향이 남아있을 지 모르는 상황이므로 통신사 자체를 교체하는 것도 하나의 방안이 될 수 있습니다. 추가적으로 금융위원회 주관의 ‘여신거래 안심차단 서비스’, 금융감독원 주관의 ‘비대면 계좌개설 안심차단 서비스’ 등을 통해 추가적인 보안 조치를 강화하는 것도 고려할 필요가 있습니다.

<여신거래 안심차단 시스템>

출처: 금융위원회

<비대면 계좌개설 안심차단 시스템>

출처: 금융감독원

3. 금융회사들은 어떤 피해가 예상되며 어떻게 대응해야 하나?

금감원은 최근 보험사를 포함한 전체 금융회사에 공문을 보내 ”문자 인증이나 휴대전화본인 인증만으로 금융서비스를 제공하는 경우, 추가 인증수단을 마련하라“고 권고하였고 특히, 모바일 보험 앱을 사용하는 고객의 기기 정보가 변경되었을 경우, 추가 인증이나 이상거래탐지(FDS)를 통해 모니터링 강화 필요하다고 강조하고 있습니다. 또한, SKT 유출 사태의 심각성이 높아지면서 일부 금융사에서 SKT 이용자의 인증 자체를 중단하는 등 대처도 이루어지고 있는 상황입니다.

<SKT 유출 사태 금융권 대처 사례>

기업명

조치

조치 일자

KB라이프생명

SKT 이용자 SMS 본인 인증 전면 차단

4/25

NH농협생명

SKT 이용자 SMS 본인 인증 전면 차단 예정

4 4주차 예정

신한은행

미사용/변경 기기 사용 시 안면인증 추가

4/28

우리은행

타 기기 사용 시 안면인증 후 WON 인증서 재발급

4/28

하나은행

SKT 고객 대상 안면인증 등 추가 인증절차 도입

4/29

명의도용으로 인한 금융피해는 개인은 물론 해당 기업에게도 대외적 이미지와 신뢰도 하락 및 실질적인 재정적 피해로도 이루어지기 때문에 명의도용 방지 강화를 위한 인증수단 추가 등 금융업계의 발 빠른 대처가 필요한 상황입니다.

4. 타 통신사 이용자들은 어떻게 대응해야 하나?

이번 유출 사태로 인해 타 통신사들도 보안을 강화하고 유출 방지를 위해 더욱 노력을 가하겠지만 이러한 사태가 또 발생하지 않을 것이라는 보장은 없습니다.

유출 사태로 인한 피해는 내 정보가 언제 유출되었고 언제 악용될지 모르기 때문에 미리 방지하려는 자세가 필요, 유심 품귀현상과 같이 사태 발생 후 대처하기에는 어려운 경우가 많으므로 선행적인 조치가 이루어져야 하겠습니다. 각 통신사에서 제공하고 있는 안심서비스와 유심 보호 서비스에 가입하거나 현재까지 개설되어 있는 계좌 정보 중 타인으로 인해 개설된 계좌가 있는지 확인해볼 필요가 있습니다.

<계좌 조회 서비스>

출처: 토스 / 카카오

5. 제로트러스트 도입으로 대규모 해킹공격에 효과적으로 대응해야

이번 SKT 해킹과 같은 사태 발생시 피해를 최소화하기 위해서는 기업뿐만 아니라 개인의 노력 또한 함께 이루어져야 합니다. 그러나 개인이 할 수 있는 노력에는 한계가 있으며, 이러한 사태가 발생한지 확인조차 어려운 정보취약 계층은 피해 복구에도 소외되는 상황이 발생할 수 있습니다.

따라서 시스템적인 대처 방안이 이루어질 필요가 있으며, 악성 코드 및 해킹 침해 등 외부 공격으로부터 모든 자산을 보호하기는 어려운 만큼 피해를 조기에 탐지하고 피해 규모를 최소화할 수 있는 제로트러스트 아키텍처로의 전환이 하나의 방안이 될 것으로 예상됩니다.

<제로트러스트 아키텍처 보안모델 및 논리 구성 요소>

출처: 한국인터넷진흥원, 제로트러스트 가이드라인 2.0

제로트러스트는 내부와 외부 모두에 대한 무조건적인 신뢰를 배제하고, 지속적인 인증과 권한 검증을 통해 보안을 강화하는 접근법입니다. 이번 유심정보 유출과 같은 대규모 침해에 대한 효과적인 제로트러스트 주요 기능을 살펴보겠습니다.

  • 1. 다중 인증 (Multi-Factor Authentication, MFA): 사용자 인증 시 여러 단계의 인증을 요구하여 공격자가 SIM을 교체하더라도 추가 인증을 통과하기 어렵게 만듭니다.
  • 2. 사용자 행동 분석 (User Behavioral Analytics): 사용자의 평소 행동 패턴을 분석하여 이상 징후를 감지하고, 의심스러운 활동이 발견되면 추가 인증을 요구합니다.
  • 3. 최소 권한 부여 (Least Privilege): 사용자에게 필요한 최소한의 권한만 부여하여, SIM Swapping으로 인한 피해를 최소화합니다.
  • 4. 마이크로세분화를 통한 횡적이동 방지: 해커가 특정 서버 탈취에 성공했다 하더라도 다른 서버로의 피해 확산을 방지하기 위한 마이크로 세분화 정책은 횡적 이동을 방지하여 피해를 줄일 수 있습니다.
  • 5. 지속적인 모니터링 및 검증: 네트워크와 시스템에 대한 지속적인 모니터링을 통해 의심스러운 활동을 실시간으로 감지하고 대응합니다.

이러한 제로트러스트 접근법을 통해 대규모 피해를 주는 해킹 공격에 효과적으로 대처할 수 있습니다.

정치권에서도 최근 발생한 SKT의 유심 해킹 사건에 대해 “국민의 디지털 주권이 무방비로 침해된 사건” 이라고 강력히 비판하며 이에 대한 근본적인 보안 대응의 필요성을 강조했습니다. 앞으로 이와 같은 사태를 방지하기 위해서는 기업과 정부가 함께 전방위적으로 대응해 보안 전문가를 대폭 확충하고, 정기적인 모의해킹을 통해 시스템 취약점을 점검하며, 인공지능 기반 해킹 탐지 시스템을 구축하는 등의 전방위적 대응을 취해야 합니다. 또한 국내에서도 구글과 마이크로소프트 등 글로벌 기업들이 채택하고 있는 ‘제로트러스트 (Zero Trust) 보안 체계의 도입을 적극 검토해야 할 것입니다.

글: 투이컨설팅 DSB 이봉학, 홍영우 컨설턴트