SK텔레콤. 해킹으로 가입자 USIM 정보 대량 탈취당하다
2025년 봄. 초 대형 해킹 사건이 SK텔레콤 이동통신망 관리시스템에서 발생했다. 최종적으로 해커가 침투한 시스템은 HSS(Home Subscriber Server)라는 시스템이다. HSS는 LTE/5G에서 이동통신망의 핵심 코어 시스템 중 하나로서 이동통신가입자가 휴대폰을 켰을 때 최초로 단말기의 연결을 인지하는 기지국과 연결된 MME(Mobility Management Entity)시스템이 HSS에게 해당 단말기가 이동통신망에 연결되어도 되는지 인증을 요청한다. 그리고 가입자가 이동하여 기존 MME의 관할영역에서 다른 MME의 관할 기지국으로 이동하여 연결되었을 때(이를 Inter MME Handover라고 함) 다시 HSS에게 인증을 요청하게 된다.
그런데 이렇게 중요한 HSS에서 관리하고 있는 단말기의 인증에 사용되는 정보(USIM 정보 등)가 대량으로 해킹에 의해 유출된 것이다.
HSS에서 탈취된 USIM 정보는 무엇인가?
사실 HSS에서 관리하고 있는 개인정보가 무엇이 있는지는 SK텔레콤의 엔지니어들이 가장 정확하게 알고 있을 것이다. 표준적인 LTE/5G에서 어떤 추가정보들이 관리되고 있는지는 내부자만이 알고 있는 것이다.
하지만 분명한 것은 3t세대 이동통신 시스템의 표준규격(3GPP)에 의거해 살펴보면 HSS에서 다음과 같은 정보가 유출되었을 가능성이 높다는 것을 알 수 있다.
- IMSI : International Mobile Subscriber Identity – 이동통신사에서 가입자의 단말기를 식별하기 위한 고유 식별번호 (SKT에 2개의 회선을 소유하고 있다면 2개임, USIM에 저장)
- MSISDN : 가입자 전화번호
- SUPI/GPSI : 5G 가입자인 경우 가입자 식별자
- K (Subscription Key) : 가입자의 고유 암호키 (HSS와 USIM에 저장)
- UE Reachability : 단말의 전원이 켜져 있는지 여부
- 등등 다수
다행스럽게도 가입자 기기의 고유식별번호인 IMEI는 HSS에 저장되지 않는 것으로 보인다. 그리고 USIM의 복제에 꼭 필요한 ICCID(USIM의 일련번호)도 HSS에 저장되지는 않는다.
USIM의 복제와 쌍둥이 폰은 가능한가?
USIM을 동일하게 복제하기 위해서는 IMSI와 K(가입자의 고유 암호키), 전화번호 그리고 USIM 일련번호가 필요하다. USIM을 복제한 후 다른 휴대폰에 꼽으면 기기변경이 되는 것이다.
더 나아가서 IMEI를 추가로 확보하여 휴대폰의 IMEI를 변조한 다음 복제한 USIM을 꼽으면 쌍둥이 폰도 이론적으로는 만들 수 있다.
물론…시도해보지는 않았다.
SK텔레콤 HSS 서버 침해사고 1차 조사결과
SK텔레콤의 HSS시스템 해킹 사고 이후 일주일만에 주무부처인 과학기술정보통신부는 1차 침해사고 조사결과를 발표하였다.
SK텔레콤과 과학기술정보통신부는 IMEI(단말기 고유식별번호)의 유출은 없었다는 것을 강조한다. 그러면서 뒤로는 USIM 복제에 필요한 4종의 정보가 모두 유출되었다는 것은 인정하는 듯 하다. 하지만 그 4종의 정보가 앞에서 언급한 USIM 복제를 가능하게 해주는 IMSI, ICCID(유심 일련번호), K 값 그리고 전화번호의 4종인지는 구체적으로 보고서에서 언급하지 않고 있다. 하지만 USIM 복제에 필요한 정보도 모두 4종이고 “유심 복제에 활용될 수 있는 정보 4종” 이라는 문구에서 숫자 4가 일치한다는 것은 매우 의미심장하다. (이렇게 논점을 흐리면서 은근슬쩍 공개하는 점이 이런 보고서의 특징이다.)
즉, USIM 복제에 필요한 모든 정보가 유출되었다고 보는 것이 더 안전한 추론일 것이다. 이 추론을 더 뒷바침 하는 문구가 바로 “현재 SKT가 시행중인 유심보호서비스에 가입하는 경우” 라는 문구다. 유심보호서비스에 가입하는 경우에만 해커가 유출된 유심 관련 정보를 활용하여 유심을 복제한 후 불법 행위를 시도할 경우 차단할 수 있다는 이야기가 되기 때문이다.
HSS 시스템에는 ICCID 즉 유심 일련번호가 없지만 추측컨데 HSS시스템과 통신가능한 인근의 시스템에 유심 일련번호가 존재하고 있으며 해당 시스템의 해킹 여부는 아직 확인하지 못한 것이 아닐까 싶다. 어쩌면 SK텔레콤의 HSS 시스템에는 USIM 일련번호를 함께 저장하고 있을 수도 있다고 필자는 추측한다.
그리고 BPFDoor라는 백도어가 HSS 시스템(리눅스)에 설치되어 있었다는 것은 SK텔레콤의 이동통신망 관리시스템에 대한 보안설정 및 접근통제가 형편없는 수준이라는 것을 보여준다. HSS 시스템을 비롯한 이동통신망의 관리를 위한 시스템은 SK텔레콤의 일반 사용자들은 접근할 수 없도록 엄격하게 통제되고 있다. 만약 그렇지 않다면 이건 더심각한, 이동통신사업권 자체를 박탈하는 것 까지도 고려해야할 만큼 큰 문제이기 때문이다.
즉 엔지니어들의 방만한 이동통신망 관리시스템의 운영이 문제였을 가능성이 높다고 필자는 판단한다. 이는 과거 2011년 농협의 전산망 해킹 사태와 비슷한 수준의 심각한 운영 및 관리상 문제가 있었을 가능성이 높다.
BPFDoor와 같은 백도어가 이동통신망 관리시스템의 핵심적인 시스템인 HSS에 설치되었다는 것 자체가 그것을 증명한다.
ISMS-P 인증을 받았는데 왜 해킹을 당하는가?
많은 사람들은 SK텔레콤은 ISMS-P 인증을 받고 있을텐데 왜 해킹을 당했는지, 왜 이런류의 사고가 끊이지 않는지 의아하게 생각한다. 이는 ISMS-P 즉 (개인)정보보호관리체계 인증에 대한 이해의 부족에서 기인한다고 봐야 한다.
정보보호관리체계(ISMS : Information Security Management System)인증은 정보시스템의 기술적 취약점을 찾아 제거하는 활동이 중심인 인증이 아니다. ISMS는 관리적, 물리적, 기술적 보안을 위해 체계적인 관리체계 즉 조직과 인력 그리고 절차를 수립하여 잘 수행하고 있는 가를 보증하는 인증이다. 물론 수립된 보안지침과 절차를 실제 정보시스템 운영 시 얼마나 잘 준수하고 있는지 정보시스템을 기술적으로 점검하는 것도 포함되어 있기는 하지만 기술적 점검은 최소화되어 있고 정책, 지침, 절차의 적합성과 해당 정책, 지침, 절차를 운영할 수 있는 인적, 기술적 체계를 갖추고 있는 지를 우선적으로 보는 인증이다.
애초에 ISMS-P 인증은 인증을 받았다고 하여 보안사고가 발생하지 않는 다는 것을 보장하는 것은 아니라는 점이다. 다만 보안사고를 예방하고 발생했다 하더라도 빠르게 인지하고 대응할 수 있는 능력이 있는 가를 보는 인증인 것이다. 즉 ISMS-P 인증을 받지 않은 기업은 보안사고가 발생해도 영영 인지하지 못하는 경우도 많은 것이 현실이다.
게다가 SK텔레콤과 같은 대규모의 복잡한 정보시스템을 운영하는 기업이라도 최대 7명 정도의 심사원이 8일 정도밖에는 심사를 진행할 수 없다. 8일은 사실 SK텔레콤이 운영하고 있는 정보시스템의 구조와 체계를 이해하기에도 벅찬 시간이다. 그 와중에 정보보안 정책과 지침, 절차도 살펴봐야 하고 그 정책, 지침, 절차를 수 많은 서버와 데이터베이스 그리고 응용프로그램에서 잘 준수하고 있는지도 살펴봐야 한다. 그러기 위해서는 운영하고 있는 정보시스템의 구조와 현황도 짧은 시간 동안 설명을 듣고 이해해야 한다. 결코 쉽지 않은 인증심사인 것이다.
게다가 최근에는 “ISMS-P 인증제도가 기업들에게 부담을 준다”는 일부 정치인들의 공세에 과학기술정보통신부가 호응하여 일부 인증기준을 삭제한 “간편인증”제가 탄생하였고 심사에 투입되는 심사원과 심사일수도 대폭 줄였다. 5명이 가야할 심사를 4명이나 3명의 심사원이 투입되고 5일하던 심사도 3일에서 4일로 줄이는 식이다. 간편인증이 아닌 정식 ISMS나 ISMS-P 심사도 심사일수와 투입되는 심사원의 수는 점점 더 줄어들고 있다.
그리고 심사 과정에서 문제점이 발견되어도 심사를 받는 신청기관에서 해당 문제점에 대해 문제가 있다고 동의하지 않으면 공식적인 결함으로 도출하여 결함보고서를 작성할 수 없다. 당연히 해당 문제가 제거될 것이라고 보장할 수 없다. 그래서 매우 심각한 사고를 유발할 수 있는 크리티컬한 문제임에도 신청기관(기업)의 동의가 없어 결함으로 도출하지 못하는 경우도 비일비재하다. ISMS-P 인증심사를 진행하는 심사팀에게는 보안상 문제점을 찾을 수는 있지만 조치를 강제할 권한이 없다는 점이다. 하다 못해 심사를 중단할 수 있는 중결함이 발견돼도 심사를 중단하기가 쉽지 않고 인증을 취득하지 못하게 하거나 인증을 취소할 수 있는 권한조차도 없는 것이 현실이다.
이런 상황에서 ISMS-P 인증을 받았다 하여 사고가 발생하지 않겠는가? 애초에 보안사고가 발생하지 않는다는 것을 보장하는 인증도 아닐 뿐더러 발견된 문제 조차도 여러가지 이유로 조치하지 않는 경우도 많은 것이 현실이다.
ISMS 인증을 받아도 보안사고가 발생하니 ISMS-P 인증제도는 무용하지 않은가? 라는 주장은 법에 형법이 있어도 살인, 강도 등의 사건이 빈발하니 형법이 무용하지 않은가? 라는 질문과 매우 유사한 질문인 것이다.
ISMS-P 인증제도의 개선 방향은?
제도 개선에 대한 의견이 왜 없겠는가? 하지만 특정 제도의 개선은 여러 이해관계자의 충분한 의견 수렴이 필수이기 때문에 함부로 언급하기 어려운 것이 현실이다. 그럼에도 불구하고 간단하게 몇 가지 ISMS-P 인증제도에 대한 개선방안을 제시해 본다.
먼저 ISMS 인증 획득이 의무인 일정 매출 규모 이하의 중소기업에게는 인증심사 수수료 중 일부의 정부 지원이 필요하다. 중소기업의 경우 ISMS 인증을 획득하기 위해 투자해야 하는 인건비, 보안솔루션 도입 비용 등의 부담이 제법 크다. 거기에 인증심사를 받기 위한 수수료까지 부담해야 한다. 정부가 최소한 기업이 ISMS 인증을 획득했을 때 심사수수료의 일부를 보전해줄 필요가 있다.
두 번째는 심사팀의 권한 강화다. 사실 ISMS-P 인증제도 덕분에 정보통신서비스를 제공하는 기업들의 보안성은 매우 높아졌다. 우리나라처럼 IT 인프라가 잘 되어 있고 정보통신서비스가 활성화된 상황에서 지금 수준의 보안사고 비율은 결코 높다고 볼 수 없다. 그럼에도 불구하고 더 보안수준을 높이고자 한다면 심사팀의 권한을 강화해야 한다. 보안상 치명적인 결함이 발견돼도 조치 기한인 100일 내에 개선할 수 없다는 이유로 보지 못한 척~하거나 권고에 그치지 않도록 조치 기한을 심사팀에서 제시하여 결함 보고서에 명기할 수 있도록 해야한다. 당연히 인증위원회에서도 이를 존중해야 한다. 100일 내에 조치하지 못해도 인증을 받을 수 있게 하고 다음 년도 심사에서 확인할 수 있도록 해야 한다. 그래야만 숨겨진 취약점들을 양지로 끌어내 개선을 유도할 수 있다고 생각된다.
세 번째는 인증서를 남발하지 않도록 개선이 필요하다. 현재는 어떻게든 인증심사만 받으면 인증을 획득할 수 있다고 믿고 있다. 현재는 ISMS 인증획득이 의무인 기업의 심사 중 심각한 보안상 결함이 발견되었음에도 해당 결함에 대해 결함을 받지 않겠다고 이런 저런 이유를 제기하면서 우기면 강제로 결함을 강제할 수 없는 것이 현실이다. 이런 경우 심사를 중단하고 철수해야 하는데 심사 중단 조차 신청기관의 동의를 받아야 한다고 한다. 따라서 인증심사팀 심사원 전원이 동의하면 신청기관의 의사와 관계없이 심사 중단을 선언하고 철수할 수 있도록 보장하는 등 개선이 필요하다. 인증심사에 성실하게 대응하지 않으면 안된다는 공감대가 신청기관들에게 형성되어야 한다.
네 번째는 항상 이슈가 되는 심사원의 자질 향상이다. ISMS-P 인증심사원은 두 부류로 나뉜다. 2015년 이전 세대와 이후 세대로 나뉜다. 차이는 바로 2015년 부터 실시된 인증심사원 필기 시험을 통과한 세대냐 아니냐다. 이 두 세대의 심사원은 함께 심사를 해보년 70~80%의 확률로 구분할 수 있을 정도다. ISMS-P 인증심사원 필기시험이 심사원의 자질 향상에 큰 효과를 보았다는 이야기다. 물론 시험을 치르지 않은 구세대 심사원 중에도 훌륭하신 분들이 많고 시험을 치른 세대라 하더라도 그렇지 않은 심사원도 일부 존재한다. 따라서 현재 실시하고 있는 심사원 및 심사팀장 상호간 이루어지는 상대평가 결과를 최대한 활용하여 일정수준 이하의 심사원은 심사에 투입되지 않도록 할 필요가 있다. 그리고 우수한 심사원을 심사에 참여하도록 유도하기 위한 대책도 필요하다. 심사원이 심사로 얻을 수 있는 소득은 얼마 되지 않는다. 그렇다 보니 컨설팅이나 다른 활동을 더 많이 하는 분들이 많은 것이 현실이다. 심사에 참여했을 때 기술사 수준의 자문료를 보장해줄 필요가 있다.
#SK텔레콤 #USIM정보탈취
답글 남기기