SKT, 서버 33종 악성코드 감염…해킹 첫 공격 2021년 8월

확인된 초기 침투 시기 2021년 8월…다년간 이뤄진 고도화 공격
악성코드 33종 확인, IMSI·전화번호 등 유심 정보 25종 유출
IMEI·CDR 유출 정황, 로그 기록 없어 과거 기록 확인 못 해

▲SK텔레콤 타워 전경 (사진제공=SK텔레콤)

SK텔레콤 해킹 초기 침투는 2021년 8월부터 이뤄진 것으로 확인됐다. SKT 서버에는 BPFDoor 27종을 포함한 악성코드 33종을 확인됐으며, 공격자는 다년간의 공격으로 18일 HSS 3개 서버에 저장된 9.82GB 규모의 유심 정보를 유출했다.

과학기술정보통신부는 4일 이러한 해킹 경위 과정이 담긴 SK텔레콤 침해사고 민관합동조사단 조사 결과를 발표했다. 과기정통부는 침해 사고 과정을 상세히 밝히며, SK텔레콤의 정보 보호 활동 및 거버넌스 체계가 미흡했다고 밝히며 법률 검토 결과 위약금 면제 규정 적용이 가능하다는 의견을 제시했다.

조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과, BPFDoor 27종을 포함한 악성코드 33종을 확인했다. 악성코드는 BPFDoor 27종, 타이니쉘 3종, 웹쉘 1종, 오픈소스 악성코드 2종(CrossC2 1종, 슬리버 1종)이다.

유출된 정보는 전화번호, 가입자 식별번호(IMSI·유심 내 저장되며, 통신사가 사용자 식별 시 사용) 등 유심정보 25종이다. 유출 규모는 9.82GB, IMSI 기준 약 2696만 건이다.

감염서버 중 단말기식별번호(IMEI), 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했으나 정밀 분석 결과 방화벽 로그기록이 남아있는 기간에는 자료 유출 정황이 없는 것을 확인했다.

IMEI 로그 기록이 남아있는 시기는 2024년 12월 3일부터 올해 4월 24일까지이다. CDR의 로그 기록이 남아있는 시기는 2024년 12월 9일부터 올해 4월 20일까지이다. IMEI 로그 기록이 없는 기간인 그 이전인 2022년 6월 15일부터 2024년 12월 2일까지, CDR(통화 시간, 수발신자 전화번호 등 통신 활동 관련 정보)로그 기록이 없는 2023년 1월 31일부터 2024년 12월 8일에는 유출 여부를 확인하는 게 불가능했다.

SKT, 장기간 서버 계정 패스워드 바꾸지 않아

조사 과정에서 확인된 첫 감염 시기는 2021년 8월 6일이다. 공격자는 이날 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버A에 접속 후 타 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드(CrossC2)를 설치했다.

당시 서버 A에는 시스템 관리망 내 서버들의 계정 정보(ID, 비밀번호 등)가 평문으로 저장돼 있었으며 공격자는 동 계정정보를 활용해 시스템 관리망 내 타 서버(B)에 접속한 것으로 추정된다. 서버 A에 평문으로 저장된 ID, PW를 활용해 서버 B에 접속한 로그기록은 남아있지 않으나, 동일한 ID, PW로 시스템 관리망 내 타 서버에 접속한 기록이 확인됐다.

당시 서버 B에는 코어망 내 음성통화인증(HSS) 관리서버 계정정보가 평문으로 저장되어 있었으며, 공격자는 동 계정정보를 활용해 2021년 12월 24일 HSS 관리서버에 접속했다. 이후, 공격자는 2022년 1월 1일까지 HSS 관리서버 및 HSS에 악성코드 'BPFDoor'를 설치했다.

공격자는 시스템 관리망을 통해 고객 관리망 내 서버에 접속한 것으로 추정된다. 이후 시스템 접근을 위해 추가로 악성코드를 설치하는 등 추가 거점을 확보했다. 조사단은 공격자가 시스템 관리망과 고객 관리망 간 통신한 기록을 확인했고, 이를 근거로 공격자가 시스템 관리망 내 감염서버에서 고객 관리망으로 접속이 가능한 것으로 판단했다. 공격자는 서버 접속 후, 2022년 6월 15일과 6월 22일에 악성코드(웹쉘, BPFDoor)를 설치했다.

공격자는 초기 침투과정에서 확보한 계정 정보를 활용해 2023년 11월 30일부터 2025년 4월 21일까지 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치했다. 이 기간에 SKT는 시스템 관리망 내 서버의 계정 패스워드를 장기간 변경하지 않았다. 패스워드 만료일이 설정되어있지 않고, 변경한 이력이 없는 것으로 확인됐다.

이후 공격자는 4월 18일 HSS 3개 서버에 저장된 유심정보(9.82GB)를 시스템 관리망 내 외부 인터넷 연결 접점이 있는 서버 C를 거쳐 유출했다.

조사단 "침해 사고 대응 미흡·보호 의무 소홀"

이번 조사에서 과거 침해사고 대응에서 미흡했던 점도 드러났다. SK텔레콤은 202년 2월 23일 특정 서버에서 비정상 재부팅이 발생함에 따라 해당 서버 및 연계된 서버들을 점검하는 과정에서 악성코드에 감염된 서버를 발견하여 조치했으나 정보통신망법에 따른 신고 의무를 이행하지 않았다.

당시 점검 과정에서 SK텔레콤은 이번 침해사고에서 감염이 확인된 HSS 관리서버에 비정상 로그인 시도가 있었던 정황도 발견해 점검했으나 해당 서버에 대한 로그 기록 6개 중 1개만 확인해 공격자가 서버에 접속한 기록을 확인하지 못했다.

이로 인해 HSS 관리서버 및 정보유출이 발생한 HSS에서 BPFDoor 악성코드를 확인하지 못했으며 침해사고를 신고하지 않아 정부가 조사를 통해 악성코드를 발견해 조치하는 것도 이루어질 수 없었다.

유출 정보 중 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값 암호화를 세계이동통신사업자협회(GSMA)는 권고하고 있으며 타 통신사들(KT, LGU+)도 암호화해 저장하고 있으나 SK텔레콤은 암호화하지 않고 저장했다.

유상임 과기정통부 장관은 “이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다”면서 “SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것”이라고 말했다.