;)
;)
민관합동조사단, 19일 조사결과 발표'
23대 서버에서 악성코드 발견
유심 인증키 외에 IMSI·IMEI도 유출
23대 서버에서 악성코드 발견
유심 인증키 외에 IMSI·IMEI도 유출
이미지 확대보기◇ 서버 23대 오염…2700만명 인증 정보 유출
정부 조사 결과에 따르면, 해커는 SK텔레콤의 VPN 시스템 취약점을 악용해 내부망에 침입한 뒤, 리눅스 기반 홈가입자서버(HSS) 23대에 고도화된 악성코드(BPF도어 변종)를 심었다. 이 서버들은 통신 가입자 인증, USIM 정보, 단말기 고유번호(IMEI), 가입자 인증키(IMSI) 등 핵심 정보를 관리하는 곳이다.
이로 인해 유출된 정보는 USIM 인증키, IMSI, IMEI 등 통신 인증 정보 2695만 7749건에 달한다. 특히, 임시 저장 서버 2대에서는 이름, 생년월일, 전화번호, 이메일 등 개인정보 1200만 건이 추가로 유출된 사실이 확인됐다. SKT와 알뜰폰 이용자를 합친 전체 고객 수를 넘어서는 규모다.
◇ 2022년 6월~2023년 12월 로그 공백…피해 미확인
조사단은 해커가 2022년 6월경부터 이미 내부에 잠입해 있었던 것으로 추정했다. 그러나 2022년 6월부터 2023년 12월 2일까지의 기간은 서버의 로그 기록이 남아 있지 않아, 이 기간 중 정보 유출 여부는 현재로선 확인이 불가능하다. 2023년 12월 3일 이후에는 방화벽 로그상 추가 유출 흔적이 발견되지 않았다.
이번 해킹에는 리눅스 커널 영역에서 작동하는 BPF도어(BPFDoor) 계열 백도어를 비롯해 웹셸 3종, 크래킹 툴 2종 등 총 25종의 악성코드가 동원됐다. 이들 악성코드는 탐지 회피와 은닉성이 뛰어나 장기간 잠복이 가능하며, 국내 통신 인프라가 고도화된 APT(지능형 지속 위협) 공격에 취약하다는 점을 드러냈다.
정부는 과학기술정보통신부, KISA, 개인정보보호위원회 등으로 민관 합동조사단을 구성해 해킹 경로, 피해 범위, 추가 유출 가능성 등에 대한 포렌식 분석을 진행 중이다. 아울러 통신 3사와 주요 플랫폼 기업을 대상으로 5월 한 달간 전사적 보안 점검을 지시했다.
조사단은 현재 나머지 감염 서버 8대를 정밀 분석하는 한편, 리눅스와 윈도우 등 SKT 전 서버에 악성코드 감염 여부를 점검하고 있다. 또, SKT에 개인 정보 유출 가능성을 확인하고 피해 예방 방안을 마련하라고 요구에 나섰다.
이상훈 글로벌이코노믹 기자 sanghoon@g-enews.com
