SK텔레콤(SKT) 해킹 사태를 조사 중인 민관합동조사단(조사단)이 SKT 서버에서 현재까지 25종의 악성코드를 발견했다고 19일 발표했다. 이 중 24종은 중국 당국의 지원을 받는 것으로 의심되는 해킹 집단이 주로 사용하는 ‘BPF도어(Berkeley Packet Filter Door)’ 계열 악성코드로 확인됐다.

조사단은 이날 정부서울청사에서 중간조사 결과를 발표하며 “총 23대의 SKT 서버 감염을 확인해 15대에 대한 포렌식 등 정밀분석을 완료했고, 나머지 8대에 대한 분석과 다른 악성코드 탐지 및 제거를 위한 5차 점검을 진행 중”이라며 “현재까지 BPF도어 계열 24종 등 총 25종의 악성코드를 발견해 조치했다”고 밝혔다.

BPF도어는 해커가 서버 데이터를 탈취하기 위해 정상적 인증이나 네트워크 감시 체계를 피해 외부에서 몰래 접근할 수 있게 설치하는 백도어(Backdoor·뒷문) 악성코드다. 은닉성이 높고, 장기간 평범한 파일로 시스템에 잠복해 있다 해커가 보내는 특정 신호에만 활성화돼 탐지가 매우 어려운 것으로 알려져 있다. BPF도어의 존재가 처음 드러난 건 2022년 글로벌 컨설팅 기업 PwC가 발표한 보고서를 통해서다. PwC는 중국 해커 집단인 ‘레드 멘션(Red Menshen)’이 중동과 아시아 지역 통신사를 공격하며 BPF도어를 활용했다고 밝혔다. 이후 미국 보안업체 트렌드마이크로도 지난날 보고서를 통해 ‘지능형 지속 위협’(APT·특정 표적에 대해 장기간 지속적으로 해킹을 시도하는 공격 유형)을 계속해온 레드 멘션이 BPF도어의 숨겨진 조작 주체며, APT 그룹들이 BPF도어의 변종 백도어까지 개발해 터키와 홍콩 등의 통신사를 표적으로 삼았다고 발표했다.

BPF도어를 사용하는 중국 해킹 집단은 향후 미국의 주요 동맹국인 한국을 사이버 공격의 주 목표로 삼을 가능성도 크다. 트렌드마이크로는 이미 지난해 7월과 12월 두 차례에 걸쳐 한국 통신사가 BPF도어 공격을 받았다고 했고, 대만 보안기업 ‘TeamT5’도 언론을 통해 중국 해킹 그룹이 한국을 계속 표적으로 삼았으며 앞으로도 공격 우선순위가 될 우려가 있다고 밝혔다. 지난 7일 최태원 SK그룹 회장이 해킹 사태와 관련해 “보안 문제가 아니라 국방(문제)이라고 생각해야 할 상황으로 본다”고 한 것도 이런 맥락에서 나온 발언으로 해석된다. 통신업계 관계자는 “민간 차원 피해 보상도 중요하지만, 정보보호 산업 경쟁력을 키우기 위한 국가적 대응 전략을 마련하는 것도 중요하다”고 말했다.