【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]“SK텔레콤 서버 공격은 3년전부터…금전 목적 해킹과 양상 달라”

온카뱅크관리자

2025-05-19 15:17:29

<div id="layerTranslateNotice" style="display:none;"></div> 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="2d2jzxhLOR">
 <figure class="figure_frm origin_fig" contents-hash="6d5c1d49085e6e76df8372d62065618ac8386a7d0501cbd98fb3f90b6cbbff4f" dmcf-pid="VJVAqMlowM" dmcf-ptype="figure">
 <img alt="최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관합동 조사결과 2차 발표 브리핑을 하고 있다." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202505/19/etimesi/20250519150805603bpqg.jpg" data-org-width="700" dmcf-mid="KaVAqMlomd" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202505/19/etimesi/20250519150805603bpqg.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관합동 조사결과 2차 발표 브리핑을 하고 있다.
 </figcaption>
 </figure>
 SK텔레콤 해킹 사태로 약 2700만건의 가입자식별번호(IMSI)와 인증키값이 유출된 것으로 나타났다. 사실상 모든 가입자의 유심 정보가 탈취된 셈이다. 특히 단말기고유식별번호(IMEI)와 개인정보가 담긴 서버에서도 악성코드가 추가로 발견됐다. 정부는 이번 사건이 다크웹을 통한 금전 요구 등 상업적 목적의 일반 해킹 공격과는 양상이 다르다면서 해커의 정확한 서버 침입 목적을 다각도로 들여다본다는 입장이다.
 민관합동조사단이 19일 발표한 SK텔레콤 침해사고 2차 조사결과에 따르면 현재까지 확인된 감염서버는 총 23대로 1차 조사와 비교해 18대 늘었다. 해킹에 사용된 악성코드는 BPF를 악용한 백도어 외에 웹서버에 숨어든 웹셸이 추가로 발견되며 25종까지 늘어났다. 최초 감염시점은 2022년 6월 15일로 SK텔레콤 서버 내부에 3년 가까이 장기간 침투해 있던 것으로 드러났다.
 유출된 유심 정보는 9.82GB로 IMSI 기준 2695만7749건에 달했다. SK텔레콤과 알뜰폰 망 가입자 전원이 해당된다. 특히 조사단이 포렌식 등 정밀 분석을 마친 15대 중 2대의 임시서버에는 IMEI와 다수의 이름·생년월일·전화번호·이메일 등 개인정보가 담긴 것으로 나타났다. 앞서 1차 조사에서 정부는 개인정보와 IMEI 유출은 없었다고 밝힌바 있다.
 방화벽 로그 기록이 남아있던 지난해 12월 3일부터 올해 4월 24일까지는 자료가 유출되지 않은 것으로 확인됐지만 로그기록이 없는 2022년 6월 15일부터 지난해 12월 2일까지는 유출 여부가 불확실한 상태다. 다만 과기정통부는 노출된 IMEI 값만으로는 복제폰을 만들 수 없다고 강조했다.
 로그기록이 없어 IMEI·개인정보 유출 여부에 대한 조사는 난항이 불가피하다. 개인정보보호법에 따르면 기간통신사업자는 최근 2년간의 로그 기록을 보관해야 한다. 다만 해당 서버는 고객 인증 목적의 임시 저장 역할을 하는 서버라 이같은 의무가 적용되는지에 대해서는 개인정보보호위원회의 추가 조사가 필요하다. 저장된 개인정보 역시 암호화돼지 않았다. 이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장은 “이번에 발견된 임시저장된 정보들은 모두 평문으로 돼 있었다”고 설명했다. 
 <figure class="figure_frm origin_fig" contents-hash="af0e4d37b609e29e8cf98da630e08859cfa6c0d9a0e6fe07e9f8b259b608b8f4" dmcf-pid="QARO8gXDs4" dmcf-ptype="figure">
 <img alt="SK텔레콤 대리점에 고객들이 유심 교체를 위해 줄지어 서있는 모습" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202505/19/etimesi/20250519150805936gzhv.jpg" data-org-width="700" dmcf-mid="9jOpEy41se" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202505/19/etimesi/20250519150805936gzhv.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 SK텔레콤 대리점에 고객들이 유심 교체를 위해 줄지어 서있는 모습
 </figcaption>
 </figure>
 악성코드가 3년 가까이 침투해 있었음에도 이를 전혀 몰랐다는 점에서 SK텔레콤의 보안 관리 책임 소홀에 대한 지적이 커질 전망이다. 최우혁 과기정통부 정보보호네트워크정책관은 “SK텔레콤이 공격을 인지한 것은 사고가 난 이후”라고 밝혔다. 심지어 최초로 침투한 웹셸의 경우 BPF도어처럼 고도의 은닉성이 있는 악성코드도 아니었다는게 조사단 설명이다.
 류제명 과기정통부 네트워크정책실장은 백브리핑에서 KT와 LG유플러스 등 다른 통신사도 동일한 공격을 받았을 경우 같은 결과가 나타났을 것이냐는 질문에 “회사마다 보안 거버넌스가 다르고 최고경영자(CEO)가 보안을 대하는 태도 등이 다르기 때문에 같았을 것이라고 단언하기 어렵다”고 말했다.
 해킹 사태 이후 한달간 이어진 조사에도 아직 해커 정체는 특정되지 않았다. 다만 통상적으로 상업·경제적 목적으로 특정 데이터베이스(DB)를 탈취해 거래를 시도하는 기존 악성코드 공격과는 양상이 다르다고 보고 있다.
 글로벌 보안업체 트렌드마이크로는 지난달 발표한 보고서에서 중국 정부의 지원을 받는 해커조직 '레드멘션'이 한국의 한 통신사를 작년 7월과 12월 두차례에 걸쳐 침투했다고 밝힌 바 있다. 정부도 이번 해킹이 단순 자료 탈취 목적인지 다음 단계 공격 거점을 위해 침투한 것인지, 과시성 목적인지 등 다각도로 들여다볼 필요가 있다는 입장이다.
 류 실장은 “이번에 사용된 악성코드와 공격 양태를 보면 지금까지 봐 온 것보다 정교한 분석과 노력이 필요하다”며 “잠재된 위험을 끝까지 파헤치지 않으면 앞으로도 큰 위험이 있을 수 있어 조사를 굉장히 강도 높게 하고 있다”고 강조했다.
 한편 경찰도 SK텔레콤정보 유출과 관련해 수사에 속도를 내고 있다. 이날 박현수 서울청장 직무대리는 “사이버수사과에서 시스템 내 악성코드와 서버 로그기록을 분석 중”이라며 “누가 했는지를 밝히기 위해 인터넷주소(IP)를 추적하고 있다”고 밝혔다.
 박준호 기자 junho@etnews.com
 </section> 
 </div> 
 Copyright © 전자신문. 무단전재 및 재배포 금지.

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기