SKT, 2021년부터 해커 공격 받아…보안 미흡이 사태 키워 작성일 07-04 15 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">2021년 8월 내부 서버에 악성코드…중간조사 때보다 10개월 빨라 <br>2022년 비정상 서버 재부팅에도 신고 않고 악성코드 발견 놓쳐<br>관리자 계정 부실관리로 악성코드 확산…정부, 대책 마련·이행 요구</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="10Ltag9HpV"> <p contents-hash="9304996fa3ba369b58b1a7e79b7e5987c0b371f768d00e1caebab98a350e467c" dmcf-pid="tpoFNa2X02" dmcf-ptype="general">(서울=연합뉴스) 조성미 기자 = SK텔레콤 해킹 사고에 대한 민관 합동 조사단의 최종 조사에서 해커의 공격이 2021년부터 이뤄졌으며 SKT가 2022년 자체 조사로 침해 사실을 발견하고도 제대로 조치하지 않으면서 사태를 키운 사실이 드러났다.</p> <p contents-hash="88cb7465329a9ef54a4f67e9e80b76625af34975e00357ce2f47a9a7c7fc7a4d" dmcf-pid="FUg3jNVZ39" dmcf-ptype="general">통화 상대 및 시점 등 민감한 개인 정보가 노출될 수 있어 시선을 끌었던 통신기록(CDR) 유출은 파악된 바 없지만, 로그 기록이 남아있지 않은 2년 반 동안에는 유출 여부를 확인하는 것이 불가능해 미궁으로 남게 됐다.</p> <p contents-hash="f2b340bb89e641a8e305d0597a5c7cab15dd313a5a31a2cc16d8940803f87390" dmcf-pid="3ua0Ajf5uK" dmcf-ptype="general">과학기술정보통신부를 주축으로 하는 민관 합동 조사단은 4일 정부서울청사에서 지난 4월 23일 조사단을 구성한 이래 진행한 SKT 서버 4만2천600대에 대한 전수 조사 결과를 최종 발표했다.</p> <figure class="figure_frm origin_fig" contents-hash="638a614547048981b1996e790e3d915b09ec9cd9ae8b87d8e0d1fab8011912cb" dmcf-pid="07NpcA41pb" dmcf-ptype="figure"> <p class="link_figure"><img alt="울 시내의 한 SK텔레콤 매장 모습 [연합뉴스 자료사진]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/04/yonhap/20250704140631228aqii.jpg" data-org-width="1200" dmcf-mid="5f9OfVXDFf" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/04/yonhap/20250704140631228aqii.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 울 시내의 한 SK텔레콤 매장 모습 [연합뉴스 자료사진] </figcaption> </figure> <p contents-hash="7f9f23880aa7486a008b5ab1778ae880c7bd01c92e09a405cb9cf7169d1c1a15" dmcf-pid="pYPTMx0CuB" dmcf-ptype="general"><strong> 최초 공격 2021년…암호화 안된 관리자 ID·비번에 다른 서버 침투 </strong></p> <p contents-hash="07103b0a3a7095526cd8f4b5931cb4b9a71e54400ebeb19ad01c22924587aaa4" dmcf-pid="UGQyRMphFq" dmcf-ptype="general">해커가 SKT 내부 서버에 최초로 악성코드를 심은 시점은 2021년 8월 6일로 파악됐다.</p> <p contents-hash="7af1bab1218100d69807a0b35c958c7aa71c2fa3270682bf85876d643889d1c0" dmcf-pid="uHxWeRUluz" dmcf-ptype="general">중간 조사 결과 발표에서 2022년 6월이 최초 감염 시점으로 지목됐지만 이보다 약 10개월가량 이른 시점이다.</p> <p contents-hash="c60a8cddd9e892aa01b6d58224856d76db34e6569bc0c176d22470d9dd8515a6" dmcf-pid="7XMYdeuSF7" dmcf-ptype="general">해커는 외부 인터넷과 연결된 시스템 관리망 내 서버에 접속한 뒤 다른 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드를 설치했다. </p> <p contents-hash="f55c2a128c73e4e656f280b84d93accd1cf23451d91b4c99a6337c78e20fb9a9" dmcf-pid="zZRGJd7vzu" dmcf-ptype="general">당시 공격을 받은 서버에 다른 서버들을 관리할 수 있는 아이디, 비밀번호 등 계정 정보가 암호체가 아닌 평문으로 저장돼 있던 것이 화근이었다. </p> <p contents-hash="d836b59f6d91398262c65cf5445bc212c8139e1a76ee2dccb3561a1f73e57333" dmcf-pid="q5eHiJzT3U" dmcf-ptype="general">핵심 서버들에 접근할 수 있는 정보를 쉽게 얻은 해커는 통신사의 핵심 네트워크(코어망)라 할 수 있는 음성통화인증 관리 서버(HSS)에 같은 해 12월 접속한 뒤 BPF도어(BPFDoor)라는 은닉성이 강한 리눅스용 악성 코드를 심어 서버를 제어하기 시작했다.</p> <p contents-hash="796eab2b326eae7a190ad807a820134a39e9d1bfb1b4cb5fc13efeba3f22a21c" dmcf-pid="B1dXniqypp" dmcf-ptype="general">해커가 SKT 내부 서버에 심은 악성코드는 BPF도어 계열 27종을 포함해 모두 33종으로 파악됐다. 타이니쉘 3종, 웹쉘, 오픈소스 악성코드인 크로스C2, 슬리버 각각 1종이다.</p> <p contents-hash="2e7af6aeef878bf49281803597cecdf74a2c8e505188314cfe9e3c2ed66997b3" dmcf-pid="btJZLnBWF0" dmcf-ptype="general">해커는 지난 4월 18일 HSS 3개 서버에 저장된 유심정보 9.82GB(기가바이트)를 외부로 빼돌렸다. 민관 합동 조사단은 가입자 전원의 유심(USIM) 정보에 해당하는 분량이라고 밝힌 바 있다.</p> <p contents-hash="2df869428a3e5d6452df8e9c5b6d1c0836a8337aad80f0dfc32ce4f4a0c50f04" dmcf-pid="KFi5oLbYF3" dmcf-ptype="general">공급망 보안에서 구멍도 발견됐다.</p> <p contents-hash="3a72a5854d222bee831cf70712ec1475103e49d73479cb8d8fcec0899a02aed6" dmcf-pid="93n1goKGUF" dmcf-ptype="general">조사단은 "이번 침해사고와 연관성은 없지만 공급망 보안 관리 취약으로 악성코드 1종이 SK텔레콤 서버 88대에 유입된 것을 확인했다"라고도 밝혔다.</p> <p contents-hash="ff3329006e4f11a01bbaba51db82a6948eb550296f6c62f1cc4c0e463f2421b7" dmcf-pid="20Ltag9H0t" dmcf-ptype="general">SK텔레콤 협력업체가 개발한 소프트웨어가 악성코드에 감염돼 있었는데 이 소프트웨어가 SKT 서버에 설치되면서 코드가 유입된 것이다.</p> <p contents-hash="7ec4afb557e8cff028a346164f91fbb06aa92cd8354f55b753a75ffa9e6ebce7" dmcf-pid="VpoFNa2Xu1" dmcf-ptype="general">다만, 이 악성코드가 실행된 흔적이 없어 이로 인한 정보 유출 등의 피해가 없었고 SKT 서버를 직접 공격한 해커 행위와 무관해 보인다는 것이 조사단 판단이다.</p> <p contents-hash="bdd730fb0e16262d1e1b96ecd7373287003807edf483a0dce37b2e52f5ad3d18" dmcf-pid="fMSPyTaVF5" dmcf-ptype="general">조사단 관계자는 "외부에서 제작한 소프트웨어를 SKT가 설치하면서 보안 검수를 제대로 하지 않은 점은 공급망 보안 관리에 문제점으로 볼 수 있다"고 지적했다.</p> <figure class="figure_frm origin_fig" contents-hash="d999020b9b4bca640924d19a8cd92ef5d93b685bfe28f54e01a490b31b112661" dmcf-pid="4RvQWyNfFZ" dmcf-ptype="figure"> <p class="link_figure"><img alt="유심 정보 유출 사과하는 유영상 대표이사 (서울=연합뉴스) 신현우 기자 = 유영상 SK텔레콤 대표이사가 25일 서울 중구 SKT타워 수펙스홀에서 SK텔레콤 이용자 유심(USIM) 정보가 해커 공격으로 유출된 것과 관련해 고개 숙여 사과하고 있다. 2025.4.25 nowwego@yna.co.kr" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/04/yonhap/20250704140257649lyay.jpg" data-org-width="1200" dmcf-mid="7VAkfVXDuJ" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/04/yonhap/20250704140257649lyay.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 유심 정보 유출 사과하는 유영상 대표이사 (서울=연합뉴스) 신현우 기자 = 유영상 SK텔레콤 대표이사가 25일 서울 중구 SKT타워 수펙스홀에서 SK텔레콤 이용자 유심(USIM) 정보가 해커 공격으로 유출된 것과 관련해 고개 숙여 사과하고 있다. 2025.4.25 nowwego@yna.co.kr </figcaption> </figure> <p contents-hash="e9fc4c965c0fab7db177ba8884779d26238cf1d8f7b9ee1f45ba960852552090" dmcf-pid="8eTxYWj4zX" dmcf-ptype="general"><strong> "2022년 이상 작동 감지하고도"…자체 해결하다 일 키운 SKT</strong></p> <p contents-hash="f1aab6ff91d5607807119bd4dad85963dddea1a0a1194e9161e449b89351040e" dmcf-pid="6dyMGYA8FH" dmcf-ptype="general">이번 조사에서 SK텔레콤은 해커가 치밀한 사이버 공격을 감행하는 동안 특이점을 발견하고도 당국에 알리지 않은 채 자체적인 해결책으로 대응하다 문제를 키운 것으로 조사됐다.</p> <p contents-hash="3eb2254a4e04e0fd6e40fbf2b366e75db0e5cd0c1cd138cf7d77d910dd1db0d3" dmcf-pid="PJWRHGc6UG" dmcf-ptype="general">조사단은 SK텔레콤이 2022년 2월 23일 특정 서버에서 비정상적인 재부팅을 발견하고 자체 점검하는 과정에서 악성코드에 감염된 서버를 발견, 조치했지만 신고 의무를 지키지 않아 3천만원 이하 과태료 부과 대상이라고 밝혔다.</p> <p contents-hash="bc8fb7d273d05eced0211f0fe0b0fe774fa5bb2f813a05467600c1f8366d8033" dmcf-pid="QiYeXHkPzY" dmcf-ptype="general">SK텔레콤은 지난 4월 해킹 피해가 최초로 알려졌을 당시에도 신고 기한인 24시간을 넘겨 한국인터넷진흥원(KISA)에 신고해 늑장 신고 논란이 인 바 있다.</p> <p contents-hash="300d007b18e3d1bfb23fcf95c24b20eaa9f8c9ddc896ad103d0bb056c49a5c44" dmcf-pid="xnGdZXEQUW" dmcf-ptype="general">2022년 당시 점검 과정에서 SK텔레콤은 핵심 서버인 HSS 관리서버에 비정상 로그인 시도가 있었던 정황을 발견했다. </p> <p contents-hash="dce10958b6743521969a6cc770ea52312972409f8660691a13ab94d39eba8d42" dmcf-pid="y5eHiJzTpy" dmcf-ptype="general">하지만, 로그기록 6개 중 1개만 확인하면서 정작 공격자가 서버에 접속한 기록을 발견하지 못한 것으로 조사됐다.</p> <p contents-hash="b7b7d4cc938639a8e4d8f0aac50f32c9aacd47beb187a601de1ae43a36a76db2" dmcf-pid="W1dXniqy3T" dmcf-ptype="general">조사단은 "이에 따라 SKT는 정보 유출이 발생한 HSS에서 BPF도어 악성코드가 심어졌던 것을 확인하지 못했고 당국에 신고도 하지 않아 정부 조사로 악성코드를 발견, 조치하는 작업도 이뤄질 수 없었다"고 꼬집었다.</p> <p contents-hash="b35dec958b913fe841938953b1e991c10cc6c71fdc0472ccb00a4c798e4985fa" dmcf-pid="YtJZLnBW0v" dmcf-ptype="general">조사단은 또 SK텔레콤이 시스템 관리망 내 서버의 계정 비밀번호를 변경하지 않았다고 밝혔다. 비밀번호 만료일이 설정되지 않았고 변경 이력도 없었다는 것이다.</p> <p contents-hash="5b89e1ceb6bdc498686a2096c8b76f09fb8fb0692dcc309a78bda036207602d2" dmcf-pid="GFi5oLbY0S" dmcf-ptype="general">조사단은 "비밀번호를 종이, 파일, 모바일 기기 등에 기록하는 것을 지양하고 부득이하게 할 경우 암호화 등의 보호 대책을 적용하라는 것이 정보보호 및 개인정보보호 관리체계 인증 기준"이라며 SKT에 서버 접속을 위한 다중 인증 체계 도입을 요구했다.</p> <p contents-hash="1feb2f6e82d330d33197aa132fe633ac905aee5756bdbd452b5211ea8103d140" dmcf-pid="HHxWeRUl0l" dmcf-ptype="general">아울러 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값 암호화를 세계이동통신사업자협회(GSMA)가 권고하며 KT, LG유플러스 등이 하는데도 이 회사만 암호화하지 않은 점, 지난 4월 해킹이 드러나며 자료 보전 명령을 받았음에도 서버 2대를 포렌식 분석이 불가능한 상태로 조치해 제출한 점 등도 지적했다.</p> <p contents-hash="e64cbd75c702e965e9674c820ea0ba95a46e19c06ae966691d306657889e9f15" dmcf-pid="XXMYdeuS3h" dmcf-ptype="general">조사단은 "자료 보전 명령 위반과 관련해서는 수사기관에 수사를 의뢰할 예정"이라고 밝혔다.</p> <p contents-hash="70ca20c8417431068c43894cbd2c4557103d2061a39bb1c08a0957e8593c824f" dmcf-pid="ZZRGJd7v0C" dmcf-ptype="general">조사단은 ▲ 통신기록(CDR)을 임시 저장 서버에 저장한 점 ▲ 정보보호 최고책임자(CISO)가 코어망 등 네트워크 영역이 아닌 고객관리망 등 정보기술(IT) 영역의 보안 관리만 담당한 점도 SKT 보안의 미흡한 점으로 꼽았다.</p> <p contents-hash="58199050dbeac8bb6fb79fc958880ec3fd419abd4ed493eea96efe2d9cbc78c4" dmcf-pid="55eHiJzTUI" dmcf-ptype="general">재발 방지 대책으로 서버 등 네트워크가 연결되는 장치에서 일어나는 모든 활동을 감지·분석하는 EDR 설루션 및 백신 적용, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기 점검, CISO를 최고경영자(CEO) 직속 조직으로 격상 등을 요구했다.</p> <figure class="figure_frm origin_fig" contents-hash="243189566a3463225e580a0608380ed5481fa19c7b1254f20845df84817fb5ee" dmcf-pid="11dXniqy7O" dmcf-ptype="figure"> <p class="link_figure"><img alt="유심 교체 위해 줄 선 고객 (서울=연합뉴스) 신현우 기자 = 20일 서울 시내 한 SK텔레콤 공식인증 대리점에 고객이 유심 교체를 위해 줄을 서고 있다. SK텔레콤은 전날 유심을 교체한 고객이 33만명, 누적 교체자 수가 약 252만명이라고 밝혔다. 2025.5.20 nowwego@yna.co.kr" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/04/yonhap/20250704140257913vrol.jpg" data-org-width="1200" dmcf-mid="zQPxt1rRUd" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/04/yonhap/20250704140257913vrol.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 유심 교체 위해 줄 선 고객 (서울=연합뉴스) 신현우 기자 = 20일 서울 시내 한 SK텔레콤 공식인증 대리점에 고객이 유심 교체를 위해 줄을 서고 있다. SK텔레콤은 전날 유심을 교체한 고객이 33만명, 누적 교체자 수가 약 252만명이라고 밝혔다. 2025.5.20 nowwego@yna.co.kr </figcaption> </figure> <p contents-hash="ff7f93689d3ca705fb6cae4827ce95cc2a75926fa5fe7134669643d342d2f595" dmcf-pid="ttJZLnBWus" dmcf-ptype="general"><strong> IMEI·통화기록 유출 없다지만 로그기록 실종에 미궁 속으로 </strong></p> <p contents-hash="54394a4a6111a5699aaed08f6e855c93e050c1dfa4192f36bc7e30907de8d8ca" dmcf-pid="FFi5oLbY7m" dmcf-ptype="general">조사단은 유심 복제에 악용될 수 있는 단말기식별번호(IMEI)나 개인정보가 평문으로 임시 저장된 서버들을 발견했지만, 정밀 분석 결과 방화벽 로그 기록이 남아있는 기간인 지난해 12월 3일부터 사고 발견 직후까지 유출 정황이 없었다고 밝혔다.</p> <p contents-hash="b1b3c876256b593a637572a41e0fc0347a54aa17a759b7008325a08f2d331a70" dmcf-pid="33n1goKGzr" dmcf-ptype="general">하지만, 악성코드 감염 시점인 2022년 6월부터 지난해 12월 2일까지는 로그기록이 없어 유출 여부를 단언하지 못하는 상황이다.</p> <p contents-hash="799abe1eef5691dee48bc454fd429c3778560d78a64f5dbcf685bfd6fdf25451" dmcf-pid="00Ltag9Huw" dmcf-ptype="general">SKT 해킹 사태 이후 자산 무단 탈취 등 2차 피해가 나타나지 않으면서 정치인·고위 공직자 등 주요 인물들의 통화 기록 등을 노린 국가 차원의 조직적 사이버 침해 아니냐는 우려가 나왔는데, 이 역시 진위를 파악하기 힘들어진 셈이다. </p> <p contents-hash="0b195081b24a54310b2460870cfc91f161a84a2a53c41d72ae22b9b62529ca41" dmcf-pid="ppoFNa2XzD" dmcf-ptype="general">조사단은 "SKT가 자체 보안규정에 따라 로그기록을 6개월 이상 보관해야 하지만 방화벽 로그를 4개월간만 보관해 중요 정보의 유출 여부를 면밀히 조사하는 데 한계가 있었다"면서 로그기록의 6개월 이상 보관, 중앙로그관리시스템 구축 등을 요구했다.</p> <p contents-hash="1147ae8243b5c42f89be2abd773800ffeea0ba92dada04873fe160cf6a718d69" dmcf-pid="UUg3jNVZFE" dmcf-ptype="general">아울러 SKT가 서버 등 전체 자산 종류, 규모, 유휴·폐기 여부를 체계적으로 관리하지 않고 있었던 점과 타사 대비 정보보호 인력 및 투자 규모가 부족한 점도 문제로 꼽았다.</p> <p contents-hash="1340cc8936a63d681c5fbf9c30c3338395c7a7562f6f2b6dfc6262c5527126bb" dmcf-pid="u4s2CIJqUk" dmcf-ptype="general">과기정통부는 SK텔레콤이 보안 관리에서 과실이 있었다며 의무 가입 기간이 남은 이용자의 계약 해지 시 위약금 면제를 요구했다.</p> <p contents-hash="657a86460bc1b3eb95e596eb5ef146b71023b385406567a05331ca4e1eb5bb7f" dmcf-pid="78OVhCiB0c" dmcf-ptype="general">과기정통부는 SK텔레콤에 재발 방지 대책에 따른 이행계획을 이달 내 제출하라며 이행 여부를 올해 말 점검하겠다고 밝혔다. </p> <p contents-hash="1483dc5bfb9c136eef86363e20fbcbafab6bf14623df2ebc96bb015b73bbf12b" dmcf-pid="z6Iflhnb3A" dmcf-ptype="general">점검 결과에 따라 시정조치 명령을 예고하는 한편 이 회사뿐 아니라 민간 분야의 정보보호 투자 확대 및 정보보호 거버넌스 강화 등을 위한 제도 개선 방안을 국회와 마련하겠다고 덧붙였다.</p> <p contents-hash="4fed6d5be2f152c7232c94e014ecaedd5a5242f64d6e401d90397119f2cc4e8d" dmcf-pid="qPC4SlLKuj" dmcf-ptype="general">csm@yna.co.kr</p> <p contents-hash="cad9d083718ec860080e260abf983ee10b7f7b3a82b6bd8fe983a442e9338759" dmcf-pid="bxl6Tvg2ua" dmcf-ptype="general">▶제보는 카톡 okjebo</p> </section> </div> <p class="" data-translation="true">Copyright © 연합뉴스. 무단전재 -재배포, AI 학습 및 활용 금지</p> 관련자료 이전 "SKT 해킹 4년전 시작…악성코드 33종 확인" 07-04 다음 '3년간 숨어든 해커'…SKT 임시서버 뚫고 유심정보 2700만건 유출 07-04 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.