SKT 서버 감염 사태 - 가입자 정보 유출

1. 서버 감염 원인

민관합동조사단의 2차 조사 결과에 따르면, SK텔레콤의 서버가 BPFDoor 계열 악성코드에 감염되었으며, 총 23대의 서버가 피해를 입은 것으로 확인되었습니다.

BPFDoor 악성코드 감염:

• 리눅스 서버를 대상으로 하는 백도어 악성코드로 은밀하게 침투하여 장기간 정보 수집이 가능한 특징
• BPFDoor 계열 24종과 웹셸 1종을 포함한 총 25종의 악성코드가 발견
• 악성코드는 2022년 6월부터 2024년 12월까지 잠복했을 가능성이 있으며, 이 기간 동안 로그 기록이 남아 있지 않아 정확한 유출 규모를 파악하는 데 어려움

침입 경로:

• 사회공학적 공격(Social Engineering): 내부 직원 대상 피싱 이메일을 통해 초기 접근 권한을 탈취한 것으로 추정
• 권한 상승 및 내부 이동: 초기 계정 탈취 후 내부 시스템 간 수평 이동(Lateral Movement)을 통해 관리자 권한을 확보하고 광범위한 접근을 시도
• VPN 및 프록시 서버 이용: 공격자는 VPN과 프록시 서버를 활용하여 추적을 회피하고, 중국 및 동유럽 지역의 IP 주소와 연결된 정황이 확인

2. 피해 규모

유출된 데이터

• 유심(USIM) 정보: 가입자 식별키(IMSI) 기준 2,695만 7,749건이 유출
• 단말기 고유식별번호(IMEI): 약 29만 1,831건의 IMEI 정보가 포함된 파일이 발견
• 개인정보 유출 가능성: 감염된 서버 중 2대는 고객 인증을 위한 연동 서버로, 이름, 생년월일, 전화번호 등의 개인정보가 임시 저장된 정황이 확인

복제폰 및 금융사기 위험

• IMEI가 유출될 경우 복제폰 생성 및 금융사기(심스와핑) 가능성이 커질 수 있음이 우려
• 정부는 SKT에 유심 교체를 강력히 권고하고 있으며, 현재까지 유심 교체 가입자는 210만 명으로 전체 가입자의 10% 미만

3. 문제점

보안 취약점

• 다단계 인증(MFA) 적용 미흡: 일부 내부 시스템 접근에 추가 인증 절차가 부족했습니다.
• 사용자 계정 관리 미흡: 비활성 계정 관리 소홀, 권한 분리 원칙 미준수로 인해 공격자가 쉽게 내부 시스템에 접근할 수 있었습니다.
• 포렌식 대응 지연: 초기 탐지 이후 대응 체계 가동에 시간이 소요되었으며, 로그 기록이 없는 기간 동안 유출 여부를 확인하는 데 어려움이 있습니다.

국가적 사이버 보안 위협

• 이번 사건은 단순한 기업 해킹을 넘어 국가적 사이버 보안 위협으로 확대되고 있으며, 중국 정부의 지원을 받는 해커 조직 ‘레드 멘션(Red Menshen)’이 배후로 의심되고 있습니다.
• 국내 주요 통신사 및 플랫폼 기업도 유사한 공격을 받을 가능성이 있어 추가적인 보안 점검이 필요합니다.

4. 향후 대책 및 현재 조치 상황

현재 조치

• SKT는 감염된 서버 23대 중 15대에 대한 포렌식 분석을 완료하고, 나머지 8대에 대한 추가 분석을 진행 중
• 악성코드 25종을 탐지 및 제거했으며, 추가적인 악성코드 감염 여부를 확인하기 위해 5차 점검을 진행
• 개인정보보호위원회와 협력하여 유출된 개인정보가 금융 피해로 이어지지 않도록 조치를 강화

SKT 고객안심패키지

향후 대응 계획

• 6월까지 SKT 전 서버에 대한 조사를 마무리하고 최종 피해 규모와 유출 경로를 규명할 예정
• 다단계 인증(MFA) 전면 도입: 모든 시스템과 사용자 계정에 적용하여 보안 강화를 추진합니다.
• 제로 트러스트(Zero Trust) 보안 모델 전환: 내부 시스템 간 통신조차 검증 요구하는 방식으로 보안 체계를 강화
• APT 대응 시스템 고도화: 침입 탐지 → 위협 헌팅 → 자동화 대응 체계를 강화하여 장기적인 보안 위협을 차단

결론

이번 해킹 사건은 단순한 사이버 범죄를 넘어 국가 안보 차원의 대응이 필요한 문제로 확대되고 있습니다.
특히 IMEI 유출이 확인되면서 복제폰 및 금융사기 위험이 커질 가능성이 제기되고 있으며, 정부와 SKT가 추가적인 보안 강화 및 피해 예방 조치를 마련할 것으로 보입니다.