SKT 해킹 사태 한 달 후 – 2부) 그들은 지금 무엇을 하고 있을까

성공한 해킹 그룹은  지금 무엇을 하고 있을까: APT 그룹의 침묵 속 활동

 

우리는 아무 일도 일어나지 않았다고 믿고 있다. 뉴스는 반복한다. "현재까지 피해는 없다"고. 그러나 그것은 단지 신고된 피해가 없다는 말일 뿐이지 피해가 없다는 뜻은 아니다.

 

사이버 보안의 세계에서는 "신고되지 않은 피해는 통계에 존재하지 않는다"라는 오래된 격언이 있다. IBM의 2021년 보고서에 따르면, 데이터 유출 사고의 평균 발견 시간은 무려 280일이었다. 많은 피해는 발생 후 수개월, 때로는 수년이 지난 후에야 드러난다. 지금 SK텔레콤은 침해 사고를 인지했지만, 실제 침투는 최소 3년 전 아니 훨씬 이전에 시작되었을 가능성이 높다.

1.  그들은 지금,   정리하고 있다

데이터는 아직 다크웹에서 유통되지 않았다. 그러나 정제되고 있을 가능성은 충분하다.

 

APT 공격자들은 단순히 정보를 훔치는 것에 그치지 않는다. 그들은 탈취한 데이터를 체계적으로 분류하고 가치 평가를 진행한다. Capital One 해킹 때도, 해커는 고객 정보를 6주간 조용히 정렬하고 있었다. 신용등급별로, 계좌 유형별로, 공격 우선순위별로.

고도화된 해킹 그룹은 탈취한 정보를 바로 공개하지 않고, 장기적이고 전략적인 공격에 활용하는 경우가 많다. 2016년 Yahoo의 30억 계정 해킹 사건도 실제 해킹이 발생한 지 수년 후에야 그 규모가 완전히 밝혀졌다. 이들은 데이터를 분석하고, 교차 검증하며, 가장 가치 있는 표적을 선정한다.

 

IMEI, ICCID, 전화번호. 이건 무작위한 난수열이 아니라, 지갑을 여는 열쇠 조합이다. 이 세 가지 정보가 모두 유출되면, 공격자는 사실상 '디지털 상의 당신'이 될 수 있다. 2017년 O2-Telefonica 통신사 해킹 사례에서 공격자들은 이와 유사한 정보를 활용해 고객의 은행 계좌에 접근했다. 이러한 정보는 분류되고, 조합되며, 새로운 공격 벡터를 위한 기반이 된다.

2.  그들은 지금,   내부를 탐색 중이다

방화벽은 복구되었을지 모르지만, 백도어는 아직 거기에 있을 수 있다.

BPF 도어 백도어는 단순한 악성코드가 아니다. 이는 리눅스 시스템의 방화벽을 우회하고, 자신의 존재를 숨기면서 장기간 시스템 내에 잠복할 수 있는 고도화된 악성코드다. 이런 유형의 백도어는 침투 후 자가 복제하거나, 은닉 상태로 전환하여 보안 기술자들의 눈을 피하도록 설계되어 있다.

 

2020년 SolarWinds 해킹 사태를 기억해 보자. 공격자들은 백도어를 심고, 9개월 동안 아무 일도 하지 않았다. 단 한 번의 접근도 없이, 그저 관찰하고, 구조를 기록하고, 때를 기다렸다.

그리고 그들이 움직이기 시작했을 때, 미국 정부의 핵심 기관들이 차례로 해킹되었다.

 

SK텔레콤도 그렇게 될 수 있다. 정부와 기업은 "피해가 없다"고 발표하지만, 현실은 "아직 발견된 피해가 없다"는 것일 뿐이다.

우리가 보는 로그에 그들은 없다. 그러나 그들은 보고 있을 수 있다. 그들은 지금도 내부 시스템을 매핑하고, 권한 구조를 파악하며, 더 깊은 침투를 위한 경로를 찾고 있을 수 있다.

 

BPF 도어와 같은 백도어는 탐지하기 극도로 어렵다. 평소에는 'kdmtmpflush'나 'vmtoolsdsrv' 같은 정상적인 시스템 프로그램인 것처럼 이름을 바꿔 숨는다. 최신 버전은 코드 내 고정된 명령어나 파일 이름까지 제거하여 탐지 프로그램으로부터 숨는다. 커널 레벨에서 동작하기 때문에 일반적인 보안 툴로는 발견이 거의 불가능하다.

3.  그들은 지금,   옆으로 스며든다

침투는 끝났고, 이제는 옆으로, 아래로, 보이지 않는 방향으로 퍼진다.

APT 그룹의 전략은 단계적이고 체계적이다. 초기 침해 후 그들은 "횡적 이동"(Lateral Movement)을 통해 네트워크 전체로 확산한다. 이는 마치 물이 바위 틈새로 스며드는 것과 같다. 천천히, 조용히, 그러나 확실하게.

 

T-Mobile 해킹 사례를 보자. 인증 서버에서 직원 메신저로, 메신저에서 eSIM 승인 시스템으로, 그리고 사람의 일상으로.

공격자들은 한 시스템에서 다른 시스템으로 권한을 확장하며 전체 인프라를 장악해 나갔다.

 

SK텔레콤 해킹에서도 처음에는 5대의 서버만 감염되었다고 발표했지만, 2차 조사에서 23대의 서버로 확대되었음이 밝혀졌다. 그리고 BPF 도어 악성코드도 초기에는 4종이었으나 추가 조사에서 총 25종으로 증가했다. 이는 공격자들이 이미 깊숙이 침투해 있었으며, 다양한 접근 경로를 확보했음을 보여준다.

 

"전체 감염"은 아니라는 말은 현 시점에서 확인된 감염만을 의미한다. 침투는 언제나 부분에서 시작되며, 보이지 않는 곳으로 확산된다.

특히 국가 지원 해킹 그룹은 목표물의 전체 네트워크 구조를 파악하고 중요 자산을 식별하는 데 능숙하다.

4.  그들은 지금,   기다리고 있다

고도화된 APT 그룹에게 시간은 무기다. KISA 사례를 보자. 북한 해커는 2017년 계정을 탈취하고, 아무것도 하지 않았다. 2021년, 4년의 침묵 끝에 갑자기 공격을 시작했다.

 

이건 단순한 해킹이 아니라, 잠복이다.

그들은 우리가 지쳤을 때, 잊었을 때, 방어를 풀었을 때 돌아온다. 경계는 시간이 지날수록 느슨해지며 사람들은 잊는다. 대책 팀은 다른 사안으로 넘어가고 보안 예산은 다시 감소한다.

 

레드 멘션과 같은 중국 기반 APT 그룹은 인내심이 특히 뛰어나다. 그들은 수년간 침투 상태를 유지하며 정보를 수집하고, 적절한 시기를 기다린다. 이는 단기적 이득보다 장기적 전략적 이익을 중시하는 국가 지원 해킹의 특징이다.

 

그들의 시간 감각은 우리와 다르다. 우리는 주간 단위로 생각하지만, 그들은 연간 단위로 계획한다. 우리가 사건을 잊어갈 때, 그들은 다음 단계를 준비한다. 이것이 APT(Advanced Persistent Threat)의 "Persistent"(지속적)가 의미하는 바다.

결론 : 침묵은 평화가 아니다

우리는 지금 '피해 없음'이라는 문장을 안전지대로 착각한다. 그러나 이 침묵은 종결이 아니라, 텅 빈 대기음일지 모른다.

 

이 대기음 속에서, 데이터는 정제되고, 백도어는 생존하며, 네트워크 구조는 매핑되고, 공격 계획은 다듬어진다. 다음 단계는 이미 시작되었을 수 있다. 유심 복제, 계정 탈취, 금융 사기, 개인 정보 도용... 이 모든 것이 표면 아래에서 조용히 준비될 수 있다.

 

시스템은 복구될 수 있다. 그러나 신뢰는 쉽게 복구되지 않는다. 인증은 다시 설정할 수 있지만, 이미 탈취된 정보는 되돌릴 수 없다.

APT 공격의 실제 피해는 종종 원래 침해 사건 이후에 발생한다. 2차, 3차 공격이 더 파괴적일 수 있다. 그들은 지금, 아무 말도 하지 않고 있다. 그리고 그건 언제나 가장 위험한 신호다.

 

지금 우리가 경험하는 평온함을 평화로 오해하지 말아야 한다. 이는 단지 폭풍 전의 고요함일 수 있다. APT 그룹의 가장 무서운 특징은 그들이 가장 조용할 때 가장 위험하다는 것이다. 그리고 지금, 그들은 매우 조용하다.