"SKT 해킹 4년전 시작…악성코드 33종 확인" 작성일 07-04 15 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">조사단 4월23일부터 6월 27일 까지 SKT 전체 서버 조사</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="qP2lJd7vFZ"> <figure class="figure_frm origin_fig" contents-hash="f0c147c9b65d4e1a462c03ccff3ab00ddc04b2b968f1592d937702fc297f116d" dmcf-pid="BQVSiJzTUX" dmcf-ptype="figure"> <p class="link_figure"><img alt="서울 종로구 SK텔레콤 대리점 모습. 2025.7.3/뉴스1 ⓒ News1 김명섭 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/04/NEWS1/20250704140149400eblh.jpg" data-org-width="1400" dmcf-mid="uaMNKbWAzD" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/04/NEWS1/20250704140149400eblh.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 서울 종로구 SK텔레콤 대리점 모습. 2025.7.3/뉴스1 ⓒ News1 김명섭 기자 </figcaption> </figure> <p contents-hash="f14404b8ab92e40aea17e87f5e47a864d3a33505f87241d6c28ed72ee287bbea" dmcf-pid="bxfvniqy0H" dmcf-ptype="general">(서울=뉴스1) 김정현 기자 = SK텔레콤 해킹 사고를 조사한 민관합동조사단이 SKT 첫 공격 시점이 4년 전 2021년 이라고 최종 결론 내렸다. 28대 서버에서 총 33개 악성코드가 발견됐으며, 정보유출 규모는 9.82GB였다.</p> <p contents-hash="31a313f9aa11aec44b6999cd2ddc61b26f7219364daa1c0235c1622f21cd8aeb" dmcf-pid="KM4TLnBWzG" dmcf-ptype="general">과학기술정보통신부 민관합동조사단(조사단)은 4일 오후 정부서울청사에서 열린 최종 조사결과 발표에서 "전체 서버 4만 2605대를 대상으로 점검한 결과 감염서버는 총 28대였고, 악성코드는 총 33종으로 확인돼 조치했다"고 밝혔다.</p> <p contents-hash="f38110d175692c7b129fb100bdd62aea529177e5fb7bf852a34c3e839212cb43" dmcf-pid="9R8yoLbY0Y" dmcf-ptype="general">조사단은 지난 4월 23일부터 6월 27일까지 SKT 전체 서버를 대상으로 강도높은 조사를 진행하고, 감염 서버는 포렌식 등 정밀분석했다.</p> <h3 contents-hash="82c028c0676301382a730576422e846069d0fc7a18ef1df00afdf74bbd0cbda3" dmcf-pid="2AL0mrMUzW" dmcf-ptype="h3">IMEI·통화기록 평문 저장 서버도 감염…로그 없는 기간 유출여부는 확인불가</h3> <p contents-hash="ff38407893e9842c240c36facfca7e18f0b9f980a25c0d735318d5cf24e5c469" dmcf-pid="VcopsmRuzy" dmcf-ptype="general">조사단에 따르면 이번 침해사고에서 공격받은 28대 서버를 포렌식 분석한 결과△BPFDoor 27종 △타이니쉘 3종 △웹쉘 1종 △오픈소스 악성코드 2종(CrossC2 1종, 슬리버 1종) 등 악성코드 33종이 확인됐다.</p> <p contents-hash="99bbcddd7036eff972066f758e0375228d32788ffc6fb9fa61438d4a5063dbac" dmcf-pid="fkgUOse7FT" dmcf-ptype="general">유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이다. 유출 규모는 9.82GB로, IMSI를 기준으로 할 때 약 2696만 건에 달했다.</p> <p contents-hash="5550bd0d6a3a148a80502a066432d1713130dea0b2617b04be7040dab25f4ac4" dmcf-pid="4EauIOdzFv" dmcf-ptype="general">감염서버 중에는 단말기식별번호(IMEI) 및 개인정보(이름·생년월일·전화번호·이메일 등)가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시저장된 서버 1대도 있었다.</p> <p contents-hash="d1f8bc3bb4990011b2a4f267222808eeba69ed11f65bf0a8c2fb04cc5c610e00" dmcf-pid="8DN7CIJq7S" dmcf-ptype="general">민관조사단은 "정밀 분석 결과 방화벽 로그기록이 남아있는 기간에는 자료 유출 정황이 없는 것이 확인됐다"면서도 "다만 악성코드 감염시점부터 로그기록이 없는 기간의 유출 여부 확인은 불가능했다"고 설명했다.</p> <p contents-hash="113da205167ad3dc4ec156d88ef8510a6de66f675f81cc13ae9e0260ef3056d4" dmcf-pid="6wjzhCiBUl" dmcf-ptype="general">로그기록이 확인되지 않은 기간은 IMEI의 경우 지난 2022년 6월 15일부터 2024년 12월 2일까지이며, CDR은 지난 2023년 1월 31일부터 2024년 12월 8일까지다.</p> <figure class="figure_frm origin_fig" contents-hash="25f9b9c88a1b0d32d7f7d9a2f8ede3277b436fa913dc91ef11d611bf3ab11e55" dmcf-pid="PrAqlhnb7h" dmcf-ptype="figure"> <p class="link_figure"><img alt="SKT 해킹 침투 루트(과기정통부 제공)/뉴스1" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/04/NEWS1/20250704140150863jzoa.jpg" data-org-width="621" dmcf-mid="7hLw681m7E" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/04/NEWS1/20250704140150863jzoa.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> SKT 해킹 침투 루트(과기정통부 제공)/뉴스1 </figcaption> </figure> <h3 contents-hash="6b2d7e7bda64688d65fc19fc3dbb425697e2ef69559c36e5b0dd83a11c68e11e" dmcf-pid="QmcBSlLKuC" dmcf-ptype="h3">첫 감염 2021년 8월…ID·비번 평문 저장한 서버가 침투 루트돼</h3> <p contents-hash="667458a91966569da4f42c134a59dc6d6c11385097fb789d3abb72485c7aeed8" dmcf-pid="xskbvSo93I" dmcf-ptype="general">조사 과정에서 확인된 첫 감염서버를 기준으로 확인된 첫 공격 시점은 지난 2021년 8월 6일이다. </p> <p contents-hash="45741d324361fb6ee2a195653318ab45e8f60acd4da0962bbc434a6b43db96c3" dmcf-pid="y97rP6tspO" dmcf-ptype="general">공격자(해커)는 외부망과 연결된 SKT 시스템 관리망 서버에 접속해 타 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드(CrossC2)를 설치했다.</p> <p contents-hash="e400c0455374108132bb2e46f80475d7ba4a84e417df1a2b5bcd086133aca428" dmcf-pid="W2zmQPFOzs" dmcf-ptype="general">해당 서버에는 시스템 관리망 내 서버에 접속하기 위한 ID, 비밀번호 등 계정정보가 평문으로 저장돼 있었다. 해커는 이 계정정보로 침투한 두번째 서버에서 평문으로 저장된 '음성통화인증(HSS) 관리서버의 계정정보'까지 확보했다. HSS 관리서버는 가입자 정보를 중앙 집중적으로 관리하는 핵심 서버다. </p> <p contents-hash="34fcee94d9329391bc375357e946976d35ad617b0349af0a8d28e6aa1f204773" dmcf-pid="YTI6ZXEQ0m" dmcf-ptype="general">해커는 지난 2021년 12월 24일 HSS 관리서버에 접속한 뒤, HSS 관리서버 및 HSS에 BPFDoor를 설치했다. 또 해커는 지난 2022년 6월에는 고객 관리망 내 서버에도 접속한 것으로 추정되며, 추가로 웹쉘, BPFDoor 등 악성코드를 설치했다.</p> <p contents-hash="5fa7929696b9b53204c872683e3ebf45d06f3b244d38bf58b369b8ea57d84348" dmcf-pid="GyCP5ZDx3r" dmcf-ptype="general">이 과정에서 SKT가 시스템 관리망 내 서버의 계정 패스워드를 장기간 미변경한 사실도 드러났다. 패스워드 만료일 설정은 물론, 변경 이력도 없었다.</p> <p contents-hash="c4d9163d694e9b7aca99d304afabcdc02821343835a656b538eac09493e11bb4" dmcf-pid="HWhQ15wMuw" dmcf-ptype="general">결국 해커는 초기 침투에 확인된 계정정보로 지난 2023년 11월 30일부터 2025년 4월 21일 사이 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치했다. </p> <p contents-hash="ae4e23cd40d0c723359854cb08f92d2f5f558f5de17fc465cd5c64b3a161dfd0" dmcf-pid="XYlxt1rRUD" dmcf-ptype="general">이어 지난 2025년 4월 18일에는 HSS 3개서버에 저장된 유심정보를 외부 인터넷 연결 접점이 있는 서버를 통해 유출했다.</p> <p contents-hash="d94118dbf5d82a0808c1499e77e27de0beb3862f89ef7367b2ed232179b08bcb" dmcf-pid="ZGSMFtmeUE" dmcf-ptype="general">Kris@news1.kr </p> </section> </div> <p class="" data-translation="true">Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.</p> 관련자료 이전 '7조 손실' 현실화되나…'유심 해킹' SKT 위약금 면제 가시화 07-04 다음 SKT, 2021년부터 해커 공격 받아…보안 미흡이 사태 키워 07-04 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
!['쉬는부부' 검진표 이후 합방 성공?..."각방 끊어볼게 안아줄게"[종합]](https://t1.daumcdn.net/news/202307/18/tvreport/20230718005204995wmju.jpg)
!["애아빠, 아동수당으로 도박+폭력까지" 절박한 심정으로 SOS [고딩엄빠3]](https://t1.daumcdn.net/news/202307/18/mydaily/20230718004505971gzch.jpg)
!['장백지 스캔들' 사정봉, 10년 만에 아들과 함께 있는 모습 포착 [룩@차이나]](https://t1.daumcdn.net/news/202307/18/tvreport/20230718004034360pmkk.jpg)
![‘결혼지옥’ 사막부부 아내 “빚에 예물까지 팔아.. 남편, 분유 비싸니 모유 수유하라고”[종합]](https://t1.daumcdn.net/news/202307/18/poctan/20230718003031923dkkf.jpg)
![추자현♥ 우효광, ‘동상이몽2’ 4년 만 컴백... ‘6살 子’ 육아 일상 공개 [종합]](https://t1.daumcdn.net/news/202307/18/startoday/20230718002705384wudc.jpg)
![비비 '볼하트에 동그란 토끼 눈'[엑's HD포토]](https://mimgnews.pstatic.net/image/311/2023/07/18/0001617342_001_20230718180303538.jpg?type=w540)
![[포토]소연, 매력만점 하트](https://ssl.pstatic.net/mimgnews/image/112/2023/07/21/202307211149393697310_20230721115005_01_20230721115103586.jpg?type=w540)