중국 61398부대와 SKT 해킹 사건 / SKT 해킹 사건과 내부협력자 / 중국에게 정보를 판 매국노 SKT 내부 직원은 누구?!

섬네일

대한민국 최악의 SKT 해킹 사건

최근 발생한 SK텔레콤 가입자 유심 정보 유출 사고는 단순한 기업의 보안 사고를 넘어 국가 배후 해킹 조직의 위협과 관련된 심각한 사안으로 인식되고 있습니다.

 

특히 이번 사건의 해킹 수법과 정황이 과거부터 악명 높은 중국의 해킹 부대와 유사하다는 분석이 제기되면서, 중국의 사이버 스파이 활동에 대한 경각심이 다시 높아지고 있습니다.

 

이번 포스팅에서는 중국 인민해방군 산하의 비밀 해킹 부대인 61398부대에 대해 자세히 알아보고, 이번 SKT 해킹 사건과의 관련성, 그리고 이러한 고도화된 해킹이 외부의 힘만으로 가능한지에 대한 의문점까지 심층적으로 다뤄보겠습니다.

 

 

 

 

베일에 싸인 중국 인민해방군 61398부대

중국 인민해방군에는 공식 편제상 명확히 드러나지 않지만, 실제로는 사이버 공간에서 활발하게 활동하는 그림자 같은 부대들이 존재하는 것으로 알려져 있습니다.

 

그중에서도 서방 정보기관과 보안 전문가들에 의해 가장 오랫동안, 그리고 구체적으로 지목되어 온 조직이 바로 '인민해방군 총참모부 제3부 제2국', 일명 61398부대입니다.

(현재는 군 개혁으로 인민해방군 망락공간부대 산하로 재편되었을 가능성이 높습니다.)

 

• 조직 및 본부

- 이 부대는 중국 상하이시 푸둥신구 통강로 인근에 본부를 두고 있는 것으로 추정됩니다.

- 수백 명에 달하는 정예 해커들이 소속되어 사이버 전투를 수행하는 것으로 알려져 있습니다.

 

• 주요 임무

- 61398부대의 핵심 임무는 미국, 영국 등 서방 국가를 비롯한 다양한 국가의 정치, 경제, 군사 정보 수집 및 기밀 탈취입니다.

- 또한, 일반 기업체의 상업 기밀을 빼내는 해킹 미션도 수행하는 것으로 알려져 있습니다.

 

• 배후 및 목적

- 미국의 디지털 포렌식 업체 맨디언트(Mandiant)의 2013년 보고서에 따르면, 이 부대는 중국 공산당 지도부의 직접적인 지휘 아래 특정 업종이나 목표 기관을 집중적으로 공격합니다.

- 이렇게 탈취한 정보는 중국의 5개년 경제 발전 계획 수립 및 추진에 활용되는 등 국가 전략적 목적으로 이용된다는 분석입니다.

 

 

 

 

61398부대 및 중국 해킹의 악명 높은 노텔 네트웍스 사건

61398부대의 활동으로 의심받는 대표적인 사례가 바로 캐나다의 세계적인 통신 장비 업체였던 노텔 네트웍스(Nortel Networks) 해킹 사건입니다.

 

100년이 넘는 역사와 10만 명에 달하는 직원, 그리고 수천억 달러의 시가총액을 자랑하던 노텔은 2000년대 초반 중국의 화웨이와 경쟁하며 3G, 4G, 5G 관련 핵심 특허 기술을 다수 보유하고 있었습니다.

 

그러나 2004년 초부터 노텔의 컴퓨터 시스템에 중국군 해커들이 백도어를 설치하고 데이터를 암호화하여 상하이와 베이징으로 전송하는 기술 절도가 시작되었습니다.

 

이러한 해킹은 무려 5년 동안 지속되었고, 결국 노텔은 2009년 파산하게 됩니다.

 

당시 노텔의 보안 전문가였던 브라이언 쉴드는 맨디언트 보고서에 나타난 61398부대의 전략이 노텔을 해킹했던 상하이의 해커 집단과 유사하다고 언급했으며, 유출된 기술이 화웨이의 사업 분야와 겹친다는 점을 지적했습니다.

 

실제로 화웨이는 노텔 파산 전 계약 입찰에서 현저히 낮은 가격을 제시하며 노텔을 밀어냈고, 노텔 파산 이후 글로벌 기업으로 급성장했습니다.

 

많은 분석가들은 화웨이가 노텔로부터 탈취된 기술을 통해 고속 성장했을 것으로 추정하고 있습니다.

 

이 사건은 국가 배후 해킹이 한 기업의 흥망성쇠에 얼마나 치명적인 영향을 미칠 수 있는지를 극명하게 보여줍니다.

 

 

 

 

SKT 해킹 사건과 중국 해킹 부대와의 관련성

이번 SKT 가입자 유심 정보 유출 사고는 여러 면에서 과거부터 알려진 중국 해킹 조직들의 수법과 유사하다는 전문가들의 분석이 나오고 있습니다.

 

• 해킹 수법의 유사성

- 국내 보안 전문가들은 이번 SKT 사건의 해킹 수법이 중국 해킹 그룹인 위버엔트(Wolverine)의 방식과 유사하다고 지적합니다.

- 위버엔트는 웹쉘(Webshell) 악성 코드를 주로 사용하며, 접근 권한이 없는 서버에서 파일 업로드, 명령 실행, 데이터 탈취 등을 수행하는 것으로 알려져 있습니다.

- 또한, 악성 코드를 하드디스크에 기록하지 않고 메모리 상에서만 실행하는 인메모리 기반 웹쉘을 사용하거나, 최신 보안 패치가 적용되지 않은 가정용 인터넷 공유기 등을 경유지로 삼아 침투하는 방식을 사용하는 것으로 파악됩니다.

- 이러한 방식들이 이번 SKT 해킹에서도 포착되었습니다.

 

 

• BPFdoor 악성 코드

- 정부 합동 조사단은 이번 공격에 리눅스 기반 BPFdoor 계열 악성 코드 4종이 사용된 것을 확인했습니다.

- BPFdoor는 시스템을 원격에서 마음대로 조종하고 데이터를 유출하거나 장기간 통제할 수 있도록 설계된 악성 프로그램입니다.

- 글로벌 보안 업체 트렌드 마이크로는 중국 해킹 조직 레드맨션(Red Mansion)이 BPFdoor를 활용하여 한국, 홍콩, 미얀마 등 아시아 및 중동 지역의 통신, 금융, 유통 산업을 대상으로 사이버 스파이 활동을 벌여왔다고 분석한 바 있습니다.

- 이는 이번 SKT 사건에 레드맨션이 연루되었을 가능성을 시사하는 강력한 정황 증거입니다.

 

 

• 공격 대상의 일치

- 이번 SKT 해킹의 목표는 통신망의 심장이라 불리는 HSS 서버였습니다.

- HSS는 가입자의 전화번호, 고유 식별 번호, 암호화 키 등 핵심 정보를 저장하고 통신망 접속 전체를 통제하는 최상위 계층 서버입니다.

- 과거 중국 해킹 부대들이 미국 등 서방 국가의 통신 인프라와 주요 인사들의 통화 정보를 포함한 개인 정보를 탈취하려 시도했던 사례(예: 미국 3대 통신사 해킹 사건)와 일치하는 공격 대상입니다.

 

 

• 사전 경고

- 트렌드 마이크로는 이번 사건 발생 이전인 작년(2024년) 7월과 12월 두 차례에 걸쳐 한국 이동통신사들이 BPFdoor 악성 코드에 이미 공격을 받은 적이 있다고 경고한 바 있습니다.

- 이는 중국 해킹 조직의 수법과 동일한 방식으로 이미 국내 통신사가 공격 대상이 되고 있었음을 시사하며, 이번 사건이 단발적인 공격이 아닐 가능성을 보여줍니다.

 

 

이러한 기술적, 정황적 증거들은 이번 SKT 해킹 사건의 배후에 중국 해킹 조직이 있을 가능성을 매우 높게 시사하고 있습니다.

 

비록 중국 매체들이 한국 조사 당국의 시각을 '증거 없는 황당한 주장'이라며 강하게 반발하고 있지만, 공개된 악성 코드의 종류와 공격 수법이 과거부터 중국 해킹 조직이 사용해 온 방식과 일치한다는 점에서 이러한 반박은 신빙성이 떨어진다고 볼 수 있습니다.

 

 

 

 

중국 단독 해킹의 어려움과 내부자의 도움 가능성

SKT의 HSS 서버와 같이 국가 핵심 기반 시설에 준하는 통신사의 최상위 서버를 외부에서 순수하게 해킹으로만 뚫는 것은 아무리 정예 해커 부대라 할지라도 극도로 어렵고 오랜 시간이 소요되는 작업입니다.

 

 

• HSS 서버의 높은 보안 수준

- HSS 서버는 통신망의 핵심 중의 핵심으로서 다중의 보안 시스템과 물리적/논리적 접근 통제, 엄격한 네트워크 분리 등으로 철저하게 보호됩니다.

- 외부 망에서 HSS까지 접근하기 위해서는 수많은 보안 관문을 통과해야 합니다.

 

 

• 외부 공격의 한계

- 고도의 피싱 공격, 제로데이 취약점 악용, 공급망 공격 등 외부에서 침투를 시도하는 방법은 다양하지만, 탐지 시스템을 우회하고 수많은 내부 네트워크를 거쳐 최상위 서버에 도달하는 것은 매우 어렵습니다.

- 설령 초기 침투에 성공하더라도 내부 보안 시스템에 의해 탐지 및 차단될 가능성이 높습니다.

 

 

이러한 이유 때문에, SKT HSS 서버와 같이 보안 수준이 높은 핵심 시스템이 해킹당했다는 사실은 외부 해킹 공격만으로는 이루어지기 어려웠을 가능성을 제기합니다.

 

즉, 조사 과정에서 '내부자의 도움'이 있었는지 여부도 중요한 부분일 수 있습니다.

 

 

 

 

내부 협력 가능성

• 내부 협력의 역할

- 내부자의 도움은 해킹 성공률을 비약적으로 높일 수 있습니다.

 

• 정보 제공

- 내부 네트워크 구조, 보안 시스템 정보, 핵심 서버 접근 경로, 직원 계정 정보 등 외부 해커가 알기 어려운 기밀 정보를 제공할 수 있습니다.

 

• 접근 편의 제공

- 내부 네트워크에서의 직접적인 접근 권한을 제공하거나, 물리적인 접근(예: 내부망에 장치 연결)을 돕거나, 내부망 우회 방법을 알려줄 수 있습니다.

 

• 보안 시스템 우회/무력화

- 내부 시스템의 취약점을 알려주거나, 보안 시스템의 감시망을 피하는 방법을 조언하거나, 심지어 보안 설정을 일시적으로 변경하는 등의 행위를 할 수도 있습니다.

 

 

물론 현재까지 SKT 해킹 사건과 관련하여 내부자의 직접적인 협력이나 공모가 공식적으로 확인된 바는 없습니다.

 

하지만 사건의 심각성과 공격 대상의 보안 수준을 고려할 때, 외부 해킹 조직의 공격과 함께 내부 협력 가능성에 대해서도 철저한 조사가 필요하다는 목소리가 나오는 것은 자연스럽습니다.

 

중국의 국가 배후 해킹 조직들은 때때로 정보 탈취를 위해 내부 협력자를 포섭하거나 활용하는 전략을 사용하기도 하는 것으로 알려져 있습니다.

 

 

 

 

그림자 속 위협과 철저한 진상 규명

중국 인민해방군 61398부대와 같은 국가 배후 해킹 조직들은 단순한 사이버 범죄를 넘어 국가 안보와 경제 안보에 심각한 위협이 될 수 있습니다.

 

캐나다 노텔 네트웍스 사례에서 보듯이, 이들의 기술 탈취는 한 기업을 넘어 산업 전체의 경쟁 구도를 뒤흔들 수도 있습니다.

 

이번 SKT 가입자 유심 정보 유출 사고에 사용된 해킹 수법과 악성 코드가 중국 해킹 조직들이 사용하는 방식과 유사하다는 전문가들의 분석은 이번 사건의 배후에 중국 해킹 조직이 있을 가능성을 강하게 시사합니다.

 

중국 정부는 이러한 의혹에 대해 부인하고 있지만, 기술적인 증거들은 다른 이야기를 하고 있습니다.

 

더 나아가 SKT HSS 서버와 같은 고도의 보안 시스템이 뚫렸다는 사실은 외부 해킹 공격만으로는 설명하기 어려운 부분도 존재하며, 조사 과정에서 내부 협력 가능성까지 염두에 둔 철저한 진상 규명이 이루어져야 할 것입니다.

 

이번 사건은 대한민국 통신망 보안의 취약점을 드러낸 심각한 사고이며, 국가 안보 차원에서 재발 방지를 위한 강력한 대책 마련과 함께 배후 세력 및 사건 전반에 대한 투명하고 철저한 조사가 이루어져야 할 것입니다.

 

SKT 해킹 사건 어떻게 대처해야 할까? / 내 유심 정보 유출 대처 방법 상세 가이드 / 신뢰를 잃은 SK

 

SK텔레콤 유심 해킹 사건 / SKT 유심 해킹의 심각성, 문제점, 그리고 스스로를 지키는 법 / SKT에서