반응형
※ 본 글은 과학기술정보통신부(민·관 합동 조사단)의 2025년 4~7월 발표 내용을 기준으로 작성되었으며, SK텔레콤 보안 사고의 기술적 전개 과정에 집중하고 있습니다.
1. 해킹 개시 시점 및 전체 개요
- 조사단은 2025년 4월 23일부터 약 두 달간 SKT 내부 서버 약 4만 2,605대 전수 점검을 실시했습니다.
- 악성코드 감염 서버는 총 28대, 악성코드 종류는 33종으로 확인됐으며, 유출된 가입자 식별번호(IMSI)는 약 2,696만 건, 용량으로는 9.82GB 수준이었습니다.
2. 초기 침투 경로
- 최초 침투는 2021년 8월 외부 인터넷과 연결된 시스템 관리망의 서버(서버 A)에서 시작된 것으로 조사되었습니다.
- 해당 서버에는 평문으로 저장된 계정 정보(ID/비밀번호)가 있었고, 이를 통해 해커는 시스템 관리망 내부 서버에 무단 접근할 수 있었습니다.
3. 내부 확산 및 악성코드 설치
- 일단 내부 진입에 성공한 해커는 “크로스C2(CrossC2)” 같은 원격 제어·백도어 기능을 포함한 악성코드를 서버 A에 설치하고, 내부 서버로 확산시켰습니다.
- 2021년 12월, 음성통화 인증 서버(HSS)에도 침투해 “BPFDoor” 계열 악성코드를 포함해 다양한 악성코드를 은닉 설치했습니다.
- 조사단은 BPF 계열 27종, 타이니쉘 3종, 웹셸, 슬리버, 오픈소스 악성코드 등을 포함한 총 33종의 악성코드를 확인했습니다.
4. 피해 정보 유출
- 해커는 내부 확산 후, 음성통화 인증망(HSS) 서버에서 대규모 유심정보 유출을 실시했습니다.
- 실제 유출은 2025년 4월 18일에 이뤄졌으며, IMSI 및 기타 유심 관련 개인정보 총 25종, 약 2,696만 건이 외부로 유출되었습니다.
5. 관리·거버넌스 상의 보안 취약점
- 조사단은 다음과 같은 SKT 내부의 과실을 명백히 지적했습니다:
- 계정 정보 평문 저장
- 중요 정보(가입자 데이터 등) 미암호화
- 침해 사실 인지 후 신고 지연 및 미신고
- 디지털 포렌식 조사 방해
- 거버넌스 체계 부실 및 보안 투자·인력 부족
- 특히 해커가 침입한 이후 2022년 **비정상적 재부팅** 등의 이상 징후가 포착되었지만, SKT는 이를 국정원·KISA 등 당국에 신고하지 않았고 자체 대응을 시도하며 장기 은폐가 발생했습니다.
6. 조사 및 대응 과정
- 민·관 합동조사단은 2025년 5월부터 세 차례에 걸친 정밀 분석 및 포렌식을 수행했고, 4차에 걸쳐 서버 약 3만 대 이상을 검사하며 악성코드를 탐지했습니다.
- 조사 완료 후에는 SKT에 보안 개선 및 재발 방지 조치를 권고했고, 과태료 부과 및 수사기관 수사 의뢰 계획도 공개했습니다.
- 또한 정보통신망법 위반에 따른 법률적 책임 검토와 ‘위약금 면제’ 적용 가능성에 대한 법률 자문을 진행 중입니다.
7. 핵심 기술 요약 (타임라인)
2021‑08 : 외부 인터넷 접점 서버(A) 침입, 평문 계정 확보 → 내부망 접근
2021‑12 : HSS 서버 침투, BPFDoor 등 악성코드 설치
2022‑02 : 이상 재부팅 감지, 신고 없이 은폐 시도
2025‑04‑18 : IMSI 유출 대형 사고 발생
2025‑04‑23~ : 민·관 조사단 전수조사 실시, 악성코드·서버 파악
2025‑05~06 : 포렌식 정밀 분석, 로그·구성 체계 점검
2025‑07초 : 과기정통부 공식 결과 발표 및 국회 보고 진행
8. 결론
과기정통부 조사 결과는 SKT 해킹 사고가 단순한 외부 공격이 아니라, 내부의 구조적·관리적 보안 취약이 복합적으로 작용한 결과임을 보여줍니다. 공격자는 초기 계정 정보 평문 저장과 암호화 미비를 통해 시스템에 진입한 이후, 수년 간 은밀히 활동하며 다수의 서버를 감염시키고 결국 가입자 유심 정보를 대규모로 유출했습니다.
이 사건은 국내 통신사 보안 전반에 대한 경고로, 향후 유사 사고를 예방하기 위한 구조적 개선과 법적·제도적 정비가 반드시 필요합니다.
출처: 과학기술정보통신부 민관합동조사단 발표 자료 종합
반응형