[서울타임즈뉴스 = 최남주 기자] SK텔레콤 해킹 사태를 계기로 통신사 등 국내 주요 인프라가 사이버 공격에 노출돼 있다는 경각심이 커지는 가운데 해커에 의한 정보 유출이 의심된 사례들을 재점검해야 한다는 지적이 나와 주목된다. 9일 연합뉴스에 따르면 중국 해커에 의한 정보 유출이 의심되지만 유야무야된 사례중 하나로 지난 3월 미국 법무부에 의해 기소된 중국 보안업체 아이순(iSoon)의 LG유플러스 및 우리나라 외교부 해킹 의혹이 있다.
아이순 내부자가 유출한 자료와 미국 법무부 기소장에 따르면 아이순은 지난 2023년까지 7년간 최소 100명 이상의 직원을 두고 43개 이상의 중국 정부 기관에 해킹 서비스를 제공한 혐의를 받고 있다. 미국 법무부와 보안업계 분석에 따르면 아이순은 중국 공안부(MPS)와 국가안전부(MSS)의 지시에 따라 미국, 한국, 대만, 인도, 프랑스 등 최소 20개국 정부 기관, 외교부, 언론사, 비정부기구(NGO), 종교단체, 인권운동가, 반체제 인사, 기업 등을 대상으로 조직적인 해킹을 벌였다.
해킹 성공시 이메일 계정 하나당 1만∼7만5000 달러를 청구하는 등 해킹을 수익화하는 체계적인 사업 구조를 갖추고 있었던 것으로 알려진다. 이들의 활동은 낮은 처우에 불만을 품은 내부자 2명이 지난해 2월 해킹 내용이 담긴 문서 및 내부자 대화 기록 등을 폭로하면서 드러났다.
이들이 온라인에 게시한 해킹 목록에는 LG유플러스 통화기록 3테라바이트(TB), 인도 이민 데이터 95기가바이트(GB), 대만 도로 매핑 데이터 459GB 등이 포함돼 파문이 일으켰다. 해킹 목록뿐 아니라 유출된 아이순 관계자간 대화에 LG유플러스와 외교부 해킹에 관한 내용이 다량 포함된 것도 의혹을 키우고 있다.
개발자 커뮤니티 '깃허브'에 올라온 아이순 내부 대화는 대화창 41개, 총 3500페이지 분량으로 방대했다. 이중 대화창 4개가 한국 외교부, 1개가 LG유플러스 해킹과 관련한 내용으로 지목되고 있다. 대화 내용에는 한국 외교관련 이메일 데이터가 확보됐고, 중국 공안 등으로 추정되는 수요처와 거래하려던 정황이 담겼다. LG유플러스 관련으로 추정되는 대화에서는 참가자들이 'LG 건'이라고 지칭하며 통화 내역 조회가 가능한지를 묻고 답했다.
이 대화 참여자 2명중 1명은 'ken73224'라는 아이디를 사용했다. 이 아이디는 미국 법무부 기소장에 아이순의 영업이사라고 적시한 인물이 쓰던 것과 같다. 대화 상대방이 산둥성 공안국에서 'LG 건 통화기록' 조회를 요구한다고 하자 ken73224가 가능하다고 답한 내용 등이 담겼다. 이같은 이유로 과학기술정보통신부, 한국인터넷진흥원(KISA) 등 해당 의혹을 조사한 당국은 해킹 혐의점이 없다고 보고 있다. 간접 자료 이외에 해킹과 정보 유출을 의심할 만한 악성코드 잔존 등 기술적 증거 역시 없다고 조사됐다.
LG유플러스 역시 아이순의 해킹 리스트에 올라온 통화 내역 또는 데이터가 실제로 확인된 적이 없다는 입장을 밝혔다. 이 회사는 "통화 내역이 유출될 수 있는 모든 서버와 경로에 대해서 점검했지만, 외부의 침입이나 데이터가 유출된 어떠한 흔적도 발견되지 않았다"며 "지난해 3월과 5월 두 차례 과기정통부·KISA가 현장 점검했지만 특이사항이 없었다"고 강조했다.
하지만, 아이순 내부 유출 자료가 단순한 간접 증거여서 해킹 사실을 입증하기에 미약하다고 간과해서는 안된다는 반론도 있다. 미국 법무부가 올해 3월 아이순 직원 8명과 중국 공안부 요원 등 모두 12명을 악의적인 사이버 활동을 벌인 혐의 등으로 기소한 내용에 한국 외교부 해킹 혐의가 실제로 포함된 것이 이들의 해킹 혐의가 단순히 대화에 그친 것이 아니다는 방증이라는 주장이다.
미국 법무부는 기소장에서 아이순 최고운영책임자(COO)였던 전직 직원이 최소 2022년 11∼12월 한국 외교부의 여러 이메일 수신함의 내용에 허가받지 않고 접속할 권한을 중국 국가안전부(MSS)에 판매하려고 시도했다고 적시했다. 유출된 아이순 관계자 대화 내용과 유사성이 발견되는 대목이다.
이에 대해 외교부는 "외교부 메일 시스템에 무단 접속한 이력이 없다"고 반박한 바 있다. 국내 보안업계 관계자는 "아이순과 같은 업체들이 해킹 데이터를 다크웹과 같은 곳에 올려서 파는 게 아니라 중국 공안부, 국가안전부 등에 은밀히 판 것으로 드러난 만큼 다크웹에 없다고 문제없다고 보는 것엔 허점이 있다"고 지적했다.
이 관계자는 "행동을 추적할 수 있는 통화 내역이나 주요 국가기관의 정보를 빼돌리는 활동은 국내 주요 인물들에 대한 장기간에 걸친 정밀 추적이 목적"이라며 "사이버 안보법을 마련해 국가 차원의 대응 역량을 높여야 한다"고 강조했다.
보안업계 다른 관계자는 최근 KT와 LG유플러스에 대해 사이버 보안 점검을 벌인 과기정통부가 1차 점검에서 해킹 혐의점을 찾지 못한 데 대해 "SKT 해킹이 최초 알려진 시점과 당국이 직접 점검을 시작한 지난달 23일 사이 한 달이라는 간격이 있어 통신사 자체 점검으로 발견된 해킹 의심 흔적이 지워졌을 가능성도 있다"고 언급했다.
