SKT, 4년 전부터 해킹 공격받아…고객 유심정보 25종 유출

[서울=뉴시스] 심지혜 기자 = SK텔레콤이 2021년 8월부터 해킹 공격을 받은 것으로 나타났다. 해커는 총 28대 서버를 공격해 33개의 악성코드를 심었다. 이로 인해 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이 유출됐다. 규모는 9.82GB, IMSI 기준 약 2696만건이다. 

과학기술정보통신부는 4일 이같은 내용의 SK텔레콤 침해사고 민관합동조사단 조사 결과를 발표했다.

조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과, BPF도어(Door) 27종을 포함한 악성코드 33종을 확인했다. 구체적으로 BPF도어 27종, 타이니쉘 3종, 웹쉘 1종, 오픈소스 악성코드 2종(CrossC2 1종, 슬리버 1종)이다.

확인된 악성코드 정보는 피해 확산 방지를 위해 백신사, 경찰청, 국정원 등 주요 민간·공공기관에 공유하고, 악성코드 점검 가이드를 보호나라 누리집을 통해 배포했다.

조사단은 ▲감염 서버 중 단말기식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 개인정보가 평문(암호화되지 않은 정보)으로 임시 저장된 서버 2대 ▲통화 시간, 수발신자 전화번호 등 통신 활동 관련 정보가 담긴 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했다.

정밀 분석 결과 방화벽 로그기록이 남아있는 기간에는 자료 유출 정황이 없는 것을 확인했다. 다만 악성코드 감염 시점부터 로그기록이 없는 기간에는 유출 여부 확인이 불가능했다.

조사단은 공격자가 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버(A)에 접속 후 다른 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드(CrossC2)를 2021년 8월 6일에 설치한 것으로 확인했다.

앞선 조사에서는 2022년 6월에 악성코드가 처음 심긴 것으로 파악됐으나, 최종 조사에서는 이보다 1년 더 빠른 시기에 악성코드가 심긴 것으로 나타난 것이다.

당시 서버A에는 시스템 관리망 내 서버들의 계정 정보(ID, 비밀번호 등)가 평문으로 저장돼 있었으며 공격자는 같은 계정 정보를 활용해 시스템 관리망 내 다른 서버(B)에 접속한 것으로 추정된다.

서버A에 평문으로 저장된 ID, 비밀번호를 활용해 서버 B에 접속한 로그기록은 남아있지 않지만 동일한 ID, 비밀번호로 시스템 관리망 내 다른 서버에 접속한 기록을 확인했다.

또 당시 서버B에는 코어망 내 음성통화인증(HSS) 관리 서버 계정 정보가 평문으로 저장돼 있었고 공격자는 이 계정 정보를 활용해 HSS 관리 서버에 접속 후, HSS 관리서버 및 HSS에 BPF도어를 설치했다.

이후 2022년 6월에도 공격자는 시스템 관리망을 통해 고객 관리망 내 서버에 접속한 것으로 추정됐다. 서버 접속 후, 악성코드를 설치했고 초기 침투 과정에서 확보한 계정 정보를 활용해 2023년 11월 30일부터 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치했다. 이후 올해 4월 18일 HSS 3개 서버에 저장된 유심 정보를 시스템 관리망 내 외부 인터넷 연결 접점이 있는 서버C를 거쳐 유출했다.

SK텔레콤은 지난 4월 18일 오후 11시20분 평소 대비 대용량 데이터가 외부로 전송된 정황을 인지하고, 20일 오후 4시46분 한국인터넷진흥원(KISA)에 침해사고를 신고했다. 정보통신망법 상 사고인지 시점부터 24시간 이내에 신고를 해야 하며, 이를 위반 시 3000만원 이하 과태료를 부과 받게 된다.

과기정통부는 SK텔레콤의 유심정보 유출을 중대한 침해사고로 판단하고 4월 23일 민관합동조사단을 구성해 피해 현황, 사고 원인 등을 조사했다.

조사단은 이번 SK텔레콤 침해사고가 ▲국내 1위 이동통신사의 침해사고 ▲유심정보 유출로 인한 휴대폰 부정 사용 등 국민 우려 증가 ▲악성코드의 은닉성 등을 고려하여 전체 서버 4만2605대를 대상으로 BPFDoor 및 다른 악성코드 감염 여부에 대해 6월 27일까지 조사를 시행했다.

조사 과정에서 확인된 감염서버는 포렌식 등 정밀분석을 통해 정보유출 등 피해발생 여부를 파악했다.


◎공감언론 뉴시스 [email protected]