2022년 2월 악성코드 인지하고도 보안예산 크게 감축
SKT “감가상각 때문”…업계 “추가 투자 안했다는 소리”
[보안뉴스] SK텔레콤이 2022년 2월 해킹을 인지하고도 그 해 보안 투자를 오히려 큰 폭으로 줄인 것으로 나타났다. 사이버 침해 공격이 실제 벌어졌음에도 준비 태세는 소홀히 한 것이다.
8일 한국인터넷진흥원(KISA) 정보보호 공시에 따르면, SKT는 2022년 약 550억원을 정보보호에 투자했다. 이는 전년 대비 약 8.8%인 76억원 가량 낮아진 수치다. SK브로드밴드와 합산하면 약 787억원으로 약 73억원 줄었다. 전년 대비 8.5% 낮아졌다.
▲[자료: 연합]
4일 과학기술정보통신부가 발표한 SKT 침해사고 민관합동조사단 조사 결과에 따르면, SKT는 2022년 2월 23일 자사 서버가 악성코드에 감염된 것을 발견해 조치했다. 특정 서버에서 비정상 재부팅이 발생함에 따라 이 서버 및 연계된 서버들을 점검하는 과정에서 발견한 것이다. 당시 점검 과정에서 이번 침해 사고에서 감염이 확인된 음성통화인증 관리서버(HSS)에 비정상 로그인 시도가 있었던 정황도 발견해 점검했다.
2022년 초 악성코드를 처음 발견하고도, 그 해 보안 투자는 오히려 큰 폭으로 줄였다는 얘기다.
“감가상각 때문? 신규 투자와 점검 소홀했다는 얘기”
이에 대해 SKT 측은 “2022년 정보보호투자가 일시적적으로 하락한 요인은 영업전산시스템 감가상각비, SK스퀘어 분사, 전용회선 설비 사용료 감소 등에 따른 것”이라고 설명했다.
2021년 SK스퀘어가 SKT에서 분사하면서 SK스퀘어의 정보보호 투자분이 분리됐다는 설명이다. SK스퀘어의 2022년 정보보호 투자는 약 18억6870원이다. 분사로 인한 감축분을 제외해도, SKT의 2022년 정보보호 투자는 전년대비 54억원이 감소한 셈이다.
이는 “감가상각분이 크게 반영됐기 때문”이라는 것이 SKT 설명이다.
하지만 사이버 보안 업계 다수 전문가들은 “감가상각 때문에 정보보호 투자금액이 감소했다는 것은, 꼭 필요한 추가 투자를 하지 않았다는 의미”라고 입을 모은다.
정보보호 공시 포털을 운영하는 한국인터넷진흥원(KISA)에 따르면, 기업의 정보보호 관련 시스템의 감가상각분이 정보보호 공시에 반영되는 것은 사실이다. 가령 지난해 구입한 5000만원 가격의 보안 관련 제품 감가상각이 연 1000만원이라면 올해에는 4000만원 상당의 보안 제품을 보유한 것으로 인식된다.
그렇다 해도, 대부분 기업들은 감가상각으로 소멸되는 자산 이상으로 신규 취득하는 자산들이 더해져 전년보다 총 투자액은 증가하거나 최소한 비슷하기 마련이다. 감소된다 해도 소폭에 그치는 경우가 대부분이며, SKT처럼 수십억원에 달하는 금액이 낮아지는 경우는 일반적이지 않다는 게 보안 업계 관계자들의 공통된 의견이다. 특히 2000만명이 넘는 가입자를 보유한 국내 1위 거대 통신사의 정보보호 투자라는 점을 감안할 때 아주 이례적이라는 지적이다.
보안 분야 전문가들은 2022년 SKT가 보안 시스템이나 솔루션 추가 구입을 소홀히 했거나, 점검 업무를 줄였을 것이라고 봤다.
보안 업계 한 전문가는 “소멸 자산이 있으면 취득 자산이 있을텐데, 감가상각으로 수십억의 정보보호 투자가 줄었다는 얘기는 신규 자산 취득이 현저히 적거나 없었다는 얘기”라며 “이는 노후 설비 교체나 신규 솔루션 도입 등 필요한 투자에 소홀했다는 것으로 해석할 수 있다”고 말했다.
또 다른 업계 관계자는 “SKT가 2022년 시스템이나 솔루션에 대한 투자를 줄였을 가능성도 있지만 외주 보안 인력의 업무를 줄였을 가능성도 크다”며 “취약점 진단이나 이상 징후 대응 등의 다양한 점검 업무를 두 번 할 것을 한번만 하는 식으로 일을 줄여 정보보호 투자 금액이 감소했을 수 있다”고 해석했다.
▲유영상 SKT 대표가 해킹 사고에 대해 사과하고 있다. [자료: SKT]
로그기록 6개 중 1개만 확인 등 점검 소홀, 보안 활동 미흡
점검 업무가 소홀했다는 보안 업계 전문가들의 이 같은 해석은 사실로 드러났다.
실제로 과기정통부의 발표에 따르면, SKT는 감염이 확인된 HSS 관리서버에 비정상 로그인 시도가 있었던 정황을 2022년 발견해 점검했으나, 이 서버에 대한 로그 기록 6개 중 1개만 확인해, 공격자가 서버에 접속한 기록을 확인하지 못했다. 침해 사고를 신고하지 않아 정부가 조사를 통해 악성코드를 발견하여 조치하는 것도 이루어질 수 없었다.
민관합동조사단은 “이번 침해 사고 조사 과정에서 SKT가 보안 관리 미흡, 공급망 보안 소홀 등 기본적인 정보보호 활동이 미흡했음이 드러났다”고 밝혔다.
SKT는 2024년엔 SK브로드밴드 합산 기준 933억원을 정보보호에 투자했다. 전년대비 8.7% 증가했지만 여전히 경쟁사들보다 저조하다. SKT의 가입자 100만명당 정보보호 인력은 15명, 투자액은 37억9000만원(SKB 포함)으로 통신사 평균 57억4000만원, 17.7명 대비 작다.
SKT는 향후 5년간 7000억원을 정보보호에 투자한다고 4일 발표했다. 연평균 1400억원으로, 2024년 투자금액 933억원 기준 약 50% 증가한 수치다. 2024년 기준 정보기술 투자 대비 6.6%에 해당한다. 큰 폭의 증가지만, 글로벌 기업들의 평균 보안 투자 비율인 약 11%에는 여전히 못미친다.
한편, SKT는 이번 침해 사고 관련 정부의 자료 보전 명령에도 불구하고 서버 2대를 포렌식 불가능한 상태로 임의제출한 것으로 드러났다. 과기정통부는 정보통신망법 위반으로 수사기관에 수사를 의뢰할 계획이다.
[강현주 기자(jjoo@boannews.com)]
SKT “감가상각 때문”…업계 “추가 투자 안했다는 소리”
[보안뉴스] SK텔레콤이 2022년 2월 해킹을 인지하고도 그 해 보안 투자를 오히려 큰 폭으로 줄인 것으로 나타났다. 사이버 침해 공격이 실제 벌어졌음에도 준비 태세는 소홀히 한 것이다.
8일 한국인터넷진흥원(KISA) 정보보호 공시에 따르면, SKT는 2022년 약 550억원을 정보보호에 투자했다. 이는 전년 대비 약 8.8%인 76억원 가량 낮아진 수치다. SK브로드밴드와 합산하면 약 787억원으로 약 73억원 줄었다. 전년 대비 8.5% 낮아졌다.
▲[자료: 연합]
4일 과학기술정보통신부가 발표한 SKT 침해사고 민관합동조사단 조사 결과에 따르면, SKT는 2022년 2월 23일 자사 서버가 악성코드에 감염된 것을 발견해 조치했다. 특정 서버에서 비정상 재부팅이 발생함에 따라 이 서버 및 연계된 서버들을 점검하는 과정에서 발견한 것이다. 당시 점검 과정에서 이번 침해 사고에서 감염이 확인된 음성통화인증 관리서버(HSS)에 비정상 로그인 시도가 있었던 정황도 발견해 점검했다.
2022년 초 악성코드를 처음 발견하고도, 그 해 보안 투자는 오히려 큰 폭으로 줄였다는 얘기다.
“감가상각 때문? 신규 투자와 점검 소홀했다는 얘기”
이에 대해 SKT 측은 “2022년 정보보호투자가 일시적적으로 하락한 요인은 영업전산시스템 감가상각비, SK스퀘어 분사, 전용회선 설비 사용료 감소 등에 따른 것”이라고 설명했다.
2021년 SK스퀘어가 SKT에서 분사하면서 SK스퀘어의 정보보호 투자분이 분리됐다는 설명이다. SK스퀘어의 2022년 정보보호 투자는 약 18억6870원이다. 분사로 인한 감축분을 제외해도, SKT의 2022년 정보보호 투자는 전년대비 54억원이 감소한 셈이다.
이는 “감가상각분이 크게 반영됐기 때문”이라는 것이 SKT 설명이다.
하지만 사이버 보안 업계 다수 전문가들은 “감가상각 때문에 정보보호 투자금액이 감소했다는 것은, 꼭 필요한 추가 투자를 하지 않았다는 의미”라고 입을 모은다.
정보보호 공시 포털을 운영하는 한국인터넷진흥원(KISA)에 따르면, 기업의 정보보호 관련 시스템의 감가상각분이 정보보호 공시에 반영되는 것은 사실이다. 가령 지난해 구입한 5000만원 가격의 보안 관련 제품 감가상각이 연 1000만원이라면 올해에는 4000만원 상당의 보안 제품을 보유한 것으로 인식된다.
그렇다 해도, 대부분 기업들은 감가상각으로 소멸되는 자산 이상으로 신규 취득하는 자산들이 더해져 전년보다 총 투자액은 증가하거나 최소한 비슷하기 마련이다. 감소된다 해도 소폭에 그치는 경우가 대부분이며, SKT처럼 수십억원에 달하는 금액이 낮아지는 경우는 일반적이지 않다는 게 보안 업계 관계자들의 공통된 의견이다. 특히 2000만명이 넘는 가입자를 보유한 국내 1위 거대 통신사의 정보보호 투자라는 점을 감안할 때 아주 이례적이라는 지적이다.
보안 분야 전문가들은 2022년 SKT가 보안 시스템이나 솔루션 추가 구입을 소홀히 했거나, 점검 업무를 줄였을 것이라고 봤다.
보안 업계 한 전문가는 “소멸 자산이 있으면 취득 자산이 있을텐데, 감가상각으로 수십억의 정보보호 투자가 줄었다는 얘기는 신규 자산 취득이 현저히 적거나 없었다는 얘기”라며 “이는 노후 설비 교체나 신규 솔루션 도입 등 필요한 투자에 소홀했다는 것으로 해석할 수 있다”고 말했다.
또 다른 업계 관계자는 “SKT가 2022년 시스템이나 솔루션에 대한 투자를 줄였을 가능성도 있지만 외주 보안 인력의 업무를 줄였을 가능성도 크다”며 “취약점 진단이나 이상 징후 대응 등의 다양한 점검 업무를 두 번 할 것을 한번만 하는 식으로 일을 줄여 정보보호 투자 금액이 감소했을 수 있다”고 해석했다.
▲유영상 SKT 대표가 해킹 사고에 대해 사과하고 있다. [자료: SKT]
로그기록 6개 중 1개만 확인 등 점검 소홀, 보안 활동 미흡
점검 업무가 소홀했다는 보안 업계 전문가들의 이 같은 해석은 사실로 드러났다.
실제로 과기정통부의 발표에 따르면, SKT는 감염이 확인된 HSS 관리서버에 비정상 로그인 시도가 있었던 정황을 2022년 발견해 점검했으나, 이 서버에 대한 로그 기록 6개 중 1개만 확인해, 공격자가 서버에 접속한 기록을 확인하지 못했다. 침해 사고를 신고하지 않아 정부가 조사를 통해 악성코드를 발견하여 조치하는 것도 이루어질 수 없었다.
민관합동조사단은 “이번 침해 사고 조사 과정에서 SKT가 보안 관리 미흡, 공급망 보안 소홀 등 기본적인 정보보호 활동이 미흡했음이 드러났다”고 밝혔다.
SKT는 2024년엔 SK브로드밴드 합산 기준 933억원을 정보보호에 투자했다. 전년대비 8.7% 증가했지만 여전히 경쟁사들보다 저조하다. SKT의 가입자 100만명당 정보보호 인력은 15명, 투자액은 37억9000만원(SKB 포함)으로 통신사 평균 57억4000만원, 17.7명 대비 작다.
SKT는 향후 5년간 7000억원을 정보보호에 투자한다고 4일 발표했다. 연평균 1400억원으로, 2024년 투자금액 933억원 기준 약 50% 증가한 수치다. 2024년 기준 정보기술 투자 대비 6.6%에 해당한다. 큰 폭의 증가지만, 글로벌 기업들의 평균 보안 투자 비율인 약 11%에는 여전히 못미친다.
한편, SKT는 이번 침해 사고 관련 정부의 자료 보전 명령에도 불구하고 서버 2대를 포렌식 불가능한 상태로 임의제출한 것으로 드러났다. 과기정통부는 정보통신망법 위반으로 수사기관에 수사를 의뢰할 계획이다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
