SK텔레콤 해킹 사건에서 최근 추가로 발견된 악성코드 8종이 사건 초기 발견된 악성코드들이 존재한 홈가입자서버(HSS) 3대에서 발견된 것으로 파악됐다.
7일 국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)이 이번 사건을 조사한 민관 합동 조사단을 통해 확인한 바에 따르면 조사단이 최근 추가로 공개한 SK텔레콤의 공격 악성코드 8종이 HSS 서버 3대에서 나왔다.
이 서버들은 SK텔레콤 가입자 정보를 분산한 총 14대의 서버 중 일부로, 처음 발견된 악성코드 4종도 이들 서버에서 발견됐다.
조사단은 악성 코드의 유입 시점과 경위에 대한 포렌식을 진행 중이며, 코드 생성 시점에 대해서는 현재 확인 중인 상태라고 밝혔다. 코드 생성 시점은 해커의 활동을 추적할 수 있는 중요한 단서로, 이를 통해 SK텔레콤 내부망에 침입한 해커의 활동이 밝혀질 가능성이 있다.
추가 악성 코드가 발견된 HSS 서버 3대가 서로 연결된 것인지, 각각의 폐쇄망으로 분리돼 있는지도 중요한 요소로 꼽힌다. 만약 서버들이 서로 내부망을 통해 연결돼 있었다면 래터럴 무브먼트(측면 이동)가 가능해 악성 코드가 다른 서버로 확산됐을 가능성도 존재한다.
SK텔레콤은 해킹된 서버들이 폐쇄망으로 운영됐다고 밝혔으며, VPN 취약점을 통해 해킹이 이루어졌다는 추정도 나오고 있다. SK텔레콤은 해당 서버의 VPN 장비로 이반티(Ivanti)라는 해외 제품과 시큐위즈라는 국산 장비를 사용했다고 설명했다.