“44개월간 침투 드러났다”…SK텔레콤, 해킹 실태에 보안체계 교훈

정보통신 기술 복잡성이 높아지는 가운데, 데이터 보안 체계의 취약점이 IT 산업 패러다임을 다시 흔들고 있다. SK텔레콤이 최근 드러난 해킹 사건의 조사 결과를 통해, 44개월간의 장기 공격과 유심(USIM) 정보 2695만 건 유출이라는 대규모 피해를 확인했다. 네트워크 내부 복잡도와 내부 관리 체계 허점, 악성코드 탐지 한계 등 심층적 문제가 맞물리며, 국내 정보보호 거버넌스의 대대적 재점검 필요성이 부각된다. 업계는 이번 발표를 ‘정보보안 경쟁의 분기점’으로 지목한다.

SK텔레콤 해킹은 2021년 8월부터 2025년 4월까지 3년 8개월에 걸쳐 진행된 장기 침투 공격으로, 4만2천여 대 서버 중 28개 서버를 통한 33종의 악성코드 배포, 그리고 3단계에 걸친 체계적 정보 유출이 핵심이다. 업계에서는 장기 침투와 은닉 기술이 결합된 해킹 사례로 국내 최초 수준이라고 평가한다. 해커는 초기 코어망 침투와 잇따른 고객 관리망 진입, 마지막으로 HCS 서버 내 대규모 유심 정보 외부 유출 등 졸속적인 공격 흐름을 보였다.

박용규 한국인터넷진흥원(KISA) 사고분석단장에 따르면, 해커는 네트워크 무력화보다는 장기적 정보 수집 및 서버 침투 발판 확보에 전략 초점을 맞췄다. 사용된 악성코드는 폐쇄망 환경을 우회해 내부 자산으로 이동했고, 강한 은닉성으로 탐지를 어렵게 했다. 특히 총 6차례에 걸친 전수 점검이 요구될 만큼 내부 서버 관리는 파악조차 쉽지 않았다.

이번 사건은 내부 통제의 근본적 문제도 드러냈다. SK텔레콤은 장기간 동일 계정 정보와 비밀번호 사용, 단편적 개인정보 관리, 비정상 징후 방치 등 보안 기본 원칙을 위반했다. 2022년 발견된 악성코드가 재사용된 점, 당시 사고가 당국에 정상적으로 신고되지 않은 점도 치명적이었다. 4만2천여 대 서버의 실시간 자산 관리 체계 부실, 로그 미비, 복잡한 네트워크 구조, 정보보호최고책임자(CISO)와 현업 부서 간 소통·거버넌스 부재까지 유기적으로 결함이 작동했다.

실제 로그 기록 부족과 공인 IP 남용, 수동 관리 한계 등은 전체 해킹 유입 경로와 피해 규모 파악을 상당 기간 지연시켰다. 박 단장은 “폐쇄망임에도 공인 IP가 설정된 사례는 더 이상 폐쇄망 의미가 없다”며 IT 인프라 구조적 약점을 지적했다.

이번 사고의 관리·대응 문제는 국내 정보통신망법 위반, 신고 지연 등 법적 이슈로도 번졌다. SK텔레콤은 해킹 피해 신고를 주저하며, ‘피해자이자 원인제공자’라는 기업 현실을 드러냈다. 정보보호 업계 관계자들은 최근 보안 사고에서 기업 책임이 점차 강화되는 만큼, 자체적 보안 거버넌스 재정비가 시급하다고 강조하고 있다.

해외 주요 통신기업들은 사고 발생 즉시 신속한 신고와 외부 및 내부 보안 평가를 의무화하고 있다. 미국·유럽의 경우 해킹 피해 공개, 리스크 정보 공유, 거버넌스 재구성 등 투명한 위기 대응 체계가 정착돼 있고, 강화된 규제·감독 제도가 뒷받침된다.

한국인터넷진흥원(KISA)은 신고 기업 기밀 보호와 정확한 원인 진단, 재발 방지에 중점을 두고 현장 컨설팅과 점검을 확대하고 있다. 전문가들은 SK텔레콤 사례를 계기로 “보안 침해 신고와 투명성 확보, 체계적 자산 관리, CISO 중심의 정보보호 거버넌스 재구축이 한국 IT 산업의 정보보호 표준이 돼야 한다”고 분석한다.

산업계는 이번 대규모 해킹 사태 이후 정보보호 전반의 실질적 체계 혁신, 법적·윤리적 기준 강화, 그리고 외부 평가·검증이 실제 시장과 기술 현장에 빠르게 안착할 수 있을지 주시하고 있다.