SKT 해킹 본질은 "안보 위협"… 임종인 교수, 중국 '레드 멘션' 지목

최근 SK텔레콤에서 발생한 해킹 사고 관련, 정부의 2차 조사 결과 발표 이후 파장이 확산되는 가운데 정보보호 전문가가 이번 사태의 본질은 단순 개인정보 유출보다는 국가 안보 차원의 사이버 공격 가능성에 무게를 둬야 한다고 주장했다.

특히 정부 발표가 국민 불안을 과도하게 자극했다는 비판과 함께, 유출된 정보의 규모와 성격, 해커의 목적 등에 대한 면밀한 법적 검토가 필요하다는 지적이 나온다.

고려대학교 정보보호대학원 임종인 교수는 21일 CBS '김현정의 뉴스쇼'에 출연해 "마치 엄청난 개인정보가 유출되고 당장 큰일이 날 것처럼 보도됐지만, 실상은 다르다"고 밝혔다.

임 교수에 따르면, 이번에 문제가 된 것은 빠른 인증을 위한 임시 서버 2대에 저장되어 있던 29만 명의 일부 개인정보와 단말기 고유식별번호(IMEI)이며, 당초 우려됐던 2천만 명 규모의 USIM 정보 직접 유출과는 거리가 있다고 설명했다.

특히 IMEI 유출로 인한 복제폰 제작 가능성에 대해 임 교수는 "불가능한 일"이라고 단언하며 "이를 위해서는 애플이나 삼성 같은 단말기 제조사까지 해킹해야 한다"고 설명했다. 이는 IMEI 정보만으로는 통신 서비스 이용을 위한 인증 절차를 통과하기 어렵다는 기술적 분석에 기반한 것으로, 과도한 공포심을 경계해야 한다는 취지로 풀이된다.

임 교수는 이번 해킹에 사용된 악성코드 'BPF도어(BPFdoor)'가 3년 전에 이미 시스템에 침투해 있었으며, 이는 주로 중국계 해커들이 사용하는 수법이라고 분석했다.

임 교수는 "BPF도어는 주로 상대방의 통신, 금융, 항만 등 국가 기간 산업에 은밀히 침투해 잠복하며 정보를 수집하고, 유사시 시스템을 마비시키는 안보 목적으로 사용된다"고 강조했다. 실제 금전적 이득을 노렸다면 이미 다크웹 등을 통해 정보가 거래되거나 피해 사례가 속출했어야 하지만, 그런 정황이 없다는 점도 이러한 주장을 뒷받침한다.

이에 따라 임 교수는 해킹 주체로 중국의 해커 조직 '레드 멘션(Red Menshen)'을 강하게 의심하며, 이번 공격이 개개인의 금융 정보를 노린 것이 아니라 국가 주요 인프라를 겨냥한 고도의 사이버 공격일 가능성에 무게를 실었다. 이는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)상 '침해사고'의 성격을 규정하고, 이에 대한 기업 및 정부의 대응 수위를 결정하는 데 중요한 판단 근거가 될 수 있다.

한편, 임 교수는 "SKT가 대응하는 과정이 느리고 투명하지 않았던 부분은 반드시 개선해야 한다"고 지적했다. 이는 정보통신망법상 정보통신서비스 제공자가 침해사고 발생 시 지체 없이 관계 기관에 신고하고, 이용자에게 고지할 의무를 다했는지에 대한 법적 책임을 물을 수 있는 대목이다.

이어 임 교수는 개인 차원에서는 "유심 교체나 폰 변경은 필요 없으며, 유심 보호 서비스 가입 등으로 충분하다"고 조언하면서도, 국가적 차원에서는 "미국과 한국이 즉시 공조팀을 만들어 피해 범위, 원인 규명, 증거 확보 후 중국에 항의하고 재발 방지 대책을 세워야 한다"고 주장했다.