'3년간 숨어든 해커'…SKT 임시서버 뚫고 유심정보 2700만건 유출

작성일 07-04

<div id="layerTranslateNotice" style="display:none;"></div> 과기부 민관합동조사단 3차 조사결과 발표 서버 관리자 계정 평문으로 저장돼 해커 손쉽게 탈취 보안 업계 "데이터 중요도별 보안 차등 적용해야" 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="4Nq8XHkPTz">
 [이데일리 최연두 기자] SK텔레콤(017670) 유심정보 유출 사태가 인공지능(AI) 서비스 개발 등을 목적으로 운영돼온 한 대의 ‘임시 서버’에서 시작됐다는 조사 결과가 나왔다. 외부 연결이 가능한 이 서버에는 관리자 계정정보 등 데이터가 평문으로 저장돼 있어, 해커는 손쉽게 음성통화인증(HSS) 서버에 침투할 수 있었다. 3년 동안 잠입해 있던 해커는 결국 2700만건에 달하는 유심정보를 갖고 유유히 빠져나갔다.
 <figure class="figure_frm origin_fig" contents-hash="f2312f7e55f39aa4c58b08af76fec6b7c3a71cdc078c1e9e4e99b7cf8b689e6a" dmcf-pid="6AbP5ZDxhu" dmcf-ptype="figure">
 <img alt="SK텔레콤 해킹 관련 이미지(사진=생성형 AI 서비스)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/04/Edaily/20250704140302267gxwd.jpg" data-org-width="670" dmcf-mid="fi7fGYA8Sq" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/04/Edaily/20250704140302267gxwd.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 SK텔레콤 해킹 관련 이미지(사진=생성형 AI 서비스)
 </figcaption>
 </figure>
 4일 과학기술정보통신부는 한국인터넷진흥원(KISA)과 민간 전문가로 구성된 민관합동조사단(이하 조사단)의 SKT 해킹 사고의 최종 조사 결과를 발표했다.
 조사단에 따르면, 해킹 시도는 2021년 8월부터 시작됐다. 해커는 외부 인터넷을 타고 들어와 시스템 관리망 내 임시 서버에 먼저 접근했고, 여기에 원격제어 기능이 있는 악성코드 ‘CrossC2’를 심었다. 다른 서버들에 접속할 수 있는 아이디와 비밀번호 등 계정 정보가 암호화 없이 평문으로 저장돼 있어 이를 악용한 것으로 파악됐다.
 해커는 해당 계정 정보를 아용해 ‘응용 서버’로 침투 영역을 넓혔다. 응용 서버는 데이터를 가져다 활용하는 역할을 한다. 문제는 이곳에도 HSS 관리서버에 접근할 수 있는 또 다른 계정 정보가 평문으로 저장돼 있었다는 점이다. HSS 관리서버에 침투한 해커는 이후 다른 고객 정보 서버에 악성코드를 추가적으로 설치했다.
 이후 3년 가까이 은밀히 내부망을 거점화한 해커는 2025년 4월18일, HSS 서버 세 개에 저장된 유심정보 9.82기가바이트(GB) 분량(약 2696만건)을 외부 접속이 가능한 새로운 임시 서버를 통해 유출하는 데 성공했다.
 이번 조사 결과, SKT 전체 서버 4만2605대 가운데 총 28대의 서버가 감염된 것으로 확인됐다. 발견된 악성코드는 BPF도어 27종을 포함해 총 33종에 달했다. 이 가운데는 웹쉘, 타이니쉘, 오픈소스 C2 악성코드(CrossC2, 슬리버)도 포함됐다.
 조사단은 이 과정에서 SK텔레콤의 보안 점검 체계가 악성코드를 전혀 탐지하지 못했다는 사실도 확인했다. 특히 연 1회 자체 보안 점검이 있었음에도 가장 기초적인 웹쉘 탐지 항목조차 빠져 있었다고 지적했다. SKT의 귀책이 있다고 판단하고, 이는 약관에 따라 고객이 해지할 경우 위약금 면제 사유에 해당한다고 봤다.
 과기정통부는 이번 사태로 SKT의 귀책이 있다고 판단했다. 이번 침해사고에서 SK텔레콤의 과실이 발견된 점, SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, SK텔레콤 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 본 것이다.
 과기정통부는 이달 중 SKT에 재발방지 대책에 따른 이행계획을 제출토록 하고 10월까지 SK텔레콤의 이행 여부를 받고, 올 연말까지 점검에 나선다는 계획이다. 이행점검 결과, 보완이 필요한 사항이 발생하는 경우 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다.
 보안 업계는 기존 폐쇄망 중심의 보안으로는 인공지능(AI) 시대에 제대로 대응할 수 없다고 강조했다. 데이터의 중요도 별로 보안 방안을 다르게 설정하고 이에 따라 외부와 연동을 통제하는 등 방향이 핵심 보안 전략으로 떠오르고 있다는 것이다.
 김승주 고려대 정보보호대학원 교수는 “국가정보원이 추진 중인 ‘N2SF(차세대 망분리)’처럼 데이터 중요도에 따라 차등 분리하고 외부 연동 여부를 유연하게 관리하는 방식으로 보안 체계를 전환해야 한다”면서 “단순히 네트워크를 물리적으로 나누는 것이 아니라, 데이터 흐름 단위에서의 통제가 중요하다”고 강조했다.
 최연두 (yondu@edaily.co.kr) 
 </section> 
 </div> 
 Copyright © 이데일리. 무단전재 및 재배포 금지.

이전

SKT, 2021년부터 해커 공격 받아…보안 미흡이 사태 키워

07-04
다음

"SKT 보안체계 허점…다중인증 도입, 보안 거버넌스 개선 권고"

07-04

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

'3년간 숨어든 해커'…SKT 임시서버 뚫고 유심정보 2700만건 유출

멤버랭킹

관련자료

멤버랭킹