해커 관련 이미지(사진=생성형AI 서비스)
김승주 고려대 정보보호대학원 교수는 9일 소셜미디어를 통해 “이번 공격은 이동통신 가입자식별정보(IMSI), 유심 인증 키 등 통신망의 기반이 되는 핵심 정보들이 집중적으로 유출됐다는 점에서 단순한 개인정보 유출 사고로 보기엔 사안의 무게가 너무 크다”며 이같이 관측했다.
김 교수는 중국의 지능형지속위협(APT) 공격 조직인 ‘솔트 타이푼’(Salt Typhoon)이 미국 내 주요 통신사 최소 9곳을 해킹해 고위 정치인과 군 관계자, 대기업 임원 등 수백만 명의 통신 기록을 추적해온 사례를 언급했다.
솔트 타이푼이 당시 수집한 정보는 메타데이터로 분류되는 통화 기록과 위치 정보, 문자메시지 등으로 알려졌다. 이러한 메타데이터는 개인의 행동 패턴과 사회적 관계를 파악하는 데 유용하게 쓰일 수 있다는 설명이다.
김 교수는 “(미 통신사 대상 공격은) 단순한 해킹 사건이 아니다”라며 “디지털 상에서 누가 누구와 언제 어떻게 연결되는지를 정밀하게 추적할 수 있는 감시 체계를 구축하려 했던 것”이라고 설명했다. 미국 연방수사국(FBI)은 올해 4월 솔트 타이푼와 관련된 정보 제공자에게 최대 1000만 달러(140억4000만원)의 현상금을 제시했다고 강조했다.
솔트 타이푼 외에도 중국의 해킹 조직 ‘라이트베이슨’(LightBasin)은 2016년부터 전 세계 통신사를 표적으로 삼아 정교한 공격을 이어오고 있다. 보안 업체 크라우드스트라이크에 따르면, 이 조직은 최소 13개의 통신망에 침투해 IMSI, 문자메시지 등 데이터를 수집했다. 이를 통해 특정 인물을 식별하고 추적할 수 있는 수준의 정밀한 감시 활동을 벌인 것으로 분석된다.
인도 정부가 배후에 있을 것으로 추정되는 해커 그룹 ‘아핀’(Appin)이 노르웨이 이동통신사 텔레노(Telenor)를 공격해 고위 임원의 이메일과 데이터 파일을 탈취한 사례도 있다.
김 교수는 “이번 SK텔레콤 해킹 사건도 통신사 인프라 장악과 인물 추적이라는 유사한 작전 구조로 보인다”고 분석했다.
김승주 고려대 정보보호대학원 교수
김 교수는 “SK텔레콤을 겨냥한 해킹 역시 금전적 범죄로 단정지어선 안 된다”면서 “이번에 유출된 정보가 인증 키나 IMSI와 같은 가입자 기반 식별 정보였다는 점에서 공격의 목적이 특정 인물이나 지역에 대한 감시 인프라 구축에 있었을 가능성도 있다”고 말했다.
아울러 김 교수는 게시글에서 “(SK텔레콤은) 해킹 발생 후 4일이 지나서야 공지가 이뤄졌고, 보안 조치도 개별 소비자에게 유심보호 서비스를 안내하는 수준에 그쳤다”며 “이는 구조적 대응이 아니라 ‘책임 회피’로 비칠 수 있다”고 비판하기도 했다.
그는 영국의 ‘텔레커뮤니케이션 시큐리티 액트 2021’을 예로 들어, 국내 역시 제도적 기반을 강화할 필요가 있다고 지적했다. 이 법은 영국 내 모든 통신사업자에게 사이버 보안 위협에 대한 분석과 대응 계획 수립을 의무화하고, 통신 규제기관에 강력한 감독 권한을 부여해 통신망의 회복력을 체계적으로 관리할 수 있도록 설계됐다.
김 교수는 “한국도 통신망과 메타데이터를 국가 기반 인프라로 규정하고, 사전 예방 중심의 보안 체계와 법적 감독 시스템을 구축해야 한다”고 강조했다.