해킹 4년전 시작됐다…유심 정보 25종·IMSI 2700만건 털려 작성일 07-04 15 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">감염서버 5대·악성코드 8종 추가 확인 <br>유심정보 9.28GB 유출…SKT 가입자 모두 피해<br>통신기록 유출 로그기록 없어 확인 불가</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="xn33yTaVzS"> <figure class="figure_frm origin_fig" contents-hash="e98def84d0d749605dea50a0499af39ab5be71a007b6ec0b6aa62ba571f44ed2" dmcf-pid="y5aaxQ3IUl" dmcf-ptype="figure"> <p class="link_figure"><img alt="지난달 24일 오전 서울 시내의 SK텔레콤 대리점 모습. 임세준 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/04/ned/20250704142138023sjmj.jpg" data-org-width="1280" dmcf-mid="88ee29GkFW" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/04/ned/20250704142138023sjmj.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 지난달 24일 오전 서울 시내의 SK텔레콤 대리점 모습. 임세준 기자 </figcaption> </figure> <p contents-hash="f67e56b323e032b3763e3c3c124c4bca10d3c7189511cfae30067832ac496de3" dmcf-pid="WWJJfVXDuh" dmcf-ptype="general">[헤럴드경제=권제인 기자] SK텔레콤의 유심(USIM) 정보 해킹 사고로 총 28대의 서버가 악성코드 33종에 감염된 것으로 최종 확인됐다. 유출된 가입자식별번호(IMSI)는 약 2700만건으로, 사실상 모든 SKT 가입자가 해킹 공격의 피해를 입었다.</p> <p contents-hash="3962998a93688621d6fd194eca20f57a79c911b8338aff4282ef2f7aad02e961" dmcf-pid="YYii4fZw7C" dmcf-ptype="general">최초 악성코드가 심어진 것은 2021년 8월로 무려 4년간 해킹이 이뤄졌던 것으로 나타났다.</p> <p contents-hash="e1955673ae9cbedc9f411c86b34219aec99d0d388c5760426249c60670ad74a2" dmcf-pid="GGnn845r0I" dmcf-ptype="general">4일 과학기술정보통신부는 SKT 침해 사고 민관합동조사단의 조사결과 및 이용약관 상 위약금 면제 규정에 대한 검토결과를 발표했다.</p> <p contents-hash="d0ef9a68cff0b68db489a364605bcc8d6bbeb4bb06d7355626781d226241f034" dmcf-pid="HHLL681m0O" dmcf-ptype="general">과기정통부는 SKT 유심정보 유출을 중대한 침해사고로 판단하고 4월 23일 민관합동 조사단을 구성해 피해현황, 사고원인을 조사했다. 조사단은 지난달 27일까지 SKT의 전체 서버 4만2605대를 대상으로 BPF도어(BPFDoor)와 타 악성코드 감염여부에 대해 조사를 진행했다. 감염 서버에 대해선 포렌식 등 정밀분석을 통해 정보 유출 등 피해발생 여부를 파악했다.</p> <figure class="figure_frm origin_fig" contents-hash="c2f89b8d5a15b4f4a80d62cc32998d698b156642c22bd667782b086580512e9b" dmcf-pid="XXooP6ts3s" dmcf-ptype="figure"> <p class="link_figure"><img alt="류재명 과학기술정보통신부 2차관이 30일 정부세종청사 과학기술정보통신부 기자실에서 출입기자단과 간담회를 하고 있다. [과학기술정보통신부 제공]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/04/ned/20250704142138340rgbn.jpg" data-org-width="1280" dmcf-mid="6aLL681m7y" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/04/ned/20250704142138340rgbn.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 류재명 과학기술정보통신부 2차관이 30일 정부세종청사 과학기술정보통신부 기자실에서 출입기자단과 간담회를 하고 있다. [과학기술정보통신부 제공] </figcaption> </figure> <p contents-hash="48713df9e3de087baf717eeb5336ef084f02a162b4997005b2d2f8f7a2f1ec1f" dmcf-pid="ZZggQPFOzm" dmcf-ptype="general">조사단은 공격받은 총 28대 서버를 포렌식 분석한 결과 악성코드 33종을 최종적으로 확인했다고 밝혔다. 악성코드는 BPF도어 27종과 타이니쉘 3종, 웹쉘 1종, 오픈소스 악성코드 2종(크로스C2·슬리버)으로 조사됐다. 지난 5월 2차 조사결과와 비교하면 감염 서버는 5대 늘어났고, 악성코드는 8종이 추가 확인됐다.</p> <p contents-hash="26a69495218b779edbeae7ccc23864b2bfafbdc594141b6dd9f817d096b236b6" dmcf-pid="55aaxQ3I3r" dmcf-ptype="general">유출된 정보는 전화번호, IMSI 등 유심정보 25종으로 유출 규모가 9.28GB에 달했다. IMSI 기준 약 2696만건이 유출돼 사실상 모든 SKT 가입자가 해킹 공격의 피해를 입었다. IMSI는 유심 내 저장돼 통신사가 가입자 식별 시 사용한다.</p> <p contents-hash="cbc8914327b6e408f29d92986db6c4aa82664f0c705d3392eeef238f9277212d" dmcf-pid="11NNMx0Czw" dmcf-ptype="general">통신기록(CDR)과 단말기식별번호(IMEI)는 로그 기록이 남아있지 않아 유출 여부를 확인할 수 없었다. 통신기록은 통화 시간, 수발신자 전화번호 등 통신 활동 관련 정보를 담고 있으며, IMEI는 휴대전화 기기 식별에 사용되는 정보다.</p> <p contents-hash="bf1ee5fe47287fcc611d6c73e7e6e4b0d87c7d06adbd2de7160c3dd635b8b17a" dmcf-pid="ttjjRMphUD" dmcf-ptype="general">통신기록을 평문으로 임시 저장된 서버 1대는 정밀 분석 결과 방화벽 로그 기록이 남아있는 2024년 12월 9일부터 지난 4월 20일에 대해선 자료 유출 정황이 없는 것으로 확인됐다. 그러나 악성코드 감염 시점부터 로그 기록이 없는 2023년 1월 31일부터 2024년 12월 8일에 대해선 유출 여부를 확인하지 못했다.</p> <p contents-hash="d20881be1145d2822862a670a18d2a6e6b49de35994dd15e0898c544e76eddf3" dmcf-pid="FFAAeRUlFE" dmcf-ptype="general">단말기식별번호(IMEI)와 이름 등 개인정보가 평문으로 임시 저장된 서버 2대 역시 방화벽 로그 기록이 남아있는 2024년 12월 3일부터 지난 4월 24일 기간 자료가 유출되지 않았다. 기록이 없는 2022년 6월 15일부터 2024년 12월 2일까지의 유출 여부는 확인하지 못했다.</p> <p contents-hash="c04dd4870663f769faf4b0b8fdb1ad0d0473f8acafc2f813e6495fb5a86a21df" dmcf-pid="33ccdeuSuk" dmcf-ptype="general">조사단은 확인된 악성코드 정보는 피해확산 방지를 위해 백신사, 경찰청, 국정원 등 주요 민간·공공기관에 공유했다고 밝혔다. 또한, 악성코드 점검 가이드를 보호나라 누리집을 통해 배포해 지난달 30일 기준 12만9000건 조회됐다.</p> <figure class="figure_frm origin_fig" contents-hash="9b17066f2fdaebf54ef9df681666a49d694f6295a54b63ab70490649ae346691" dmcf-pid="02llkc8tuc" dmcf-ptype="figure"> <p class="link_figure"><img alt="SK텔레콤 을지로 사옥 모습. [SK텔레콤 제공]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/04/ned/20250704142138597rmiz.jpg" data-org-width="1000" dmcf-mid="QoMMKbWA7v" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/04/ned/20250704142138597rmiz.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> SK텔레콤 을지로 사옥 모습. [SK텔레콤 제공] </figcaption> </figure> <p contents-hash="8d8ce0e4fdf291aa856e3dd7ec2c90e311a197bd4809aef6e68911d796e55e7f" dmcf-pid="pVSSEk6F3A" dmcf-ptype="general">이와함께 최초 악성코드가 심어진 것은 4년 전으로 드러났다. 공격자는 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버A에 접속했다. 이후 타 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드(CrossC2)를 2021년 8월 6일에 설치했다.</p> <p contents-hash="bd8174a92864f0781909f38b8cea3ea925673d663409a36b7b2bb8966060977c" dmcf-pid="UfvvDEP37j" dmcf-ptype="general">당시 서버A에는 시스템 관리망 내 서버들의 계정 정보(ID, 비밀번호 등)가 평문으로 저장돼 있었다. 공격자는 동 계정정보를 활용해 시스템 관리망 내 타 서버(B)에 접속한 것으로 추정된다고 조사단은 설명했다.</p> <p contents-hash="611ea7e86312476194aaffdd45683f9566d8efda17eff41c3665a0e8b4d2bd65" dmcf-pid="u4TTwDQ03N" dmcf-ptype="general">이어 공격자는 시스템 관리망을 통해 고객 관리망 내 서버에 접속한 것으로 추정되며, 서버 접속 후 2022년 6월 15일, 6월 22일에 악성코드(웹쉘, BPFDoor)를 설치했다.</p> <p contents-hash="f604e2ed665c758808d8282d0ceb2dc597b61a22abc9573b93e2682341d955cb" dmcf-pid="78yyrwxpUa" dmcf-ptype="general">공격자는 초기 침투과정에서 확보한 계정 정보를 활용해 2023년 11월~지난해 4월까지 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치했다.</p> <p contents-hash="518f5a026e9885ddb5745217b668fd4b79ff6b940f27632c9fd036de69b76515" dmcf-pid="z6WWmrMUzg" dmcf-ptype="general">이후 공격자는 지난 4월 18일 HSS 3개 서버에 저장된 유심정보(9.82GB)를 시스템 관리망 내 외부 인터넷 연결 접점이 있는 서버 C를 거쳐 유출한 것으로 나타났다.</p> </section> </div> <p class="" data-translation="true">Copyright © 헤럴드경제. 무단전재 및 재배포 금지.</p> 관련자료 이전 온유, 정규 2집 트랙리스트 공개…타이틀곡은 '애니멀' 확정 07-04 다음 'AI 다음은 로봇'...열리는 로봇 칩 선점 전쟁 07-04 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
!['쉬는부부' 검진표 이후 합방 성공?..."각방 끊어볼게 안아줄게"[종합]](https://t1.daumcdn.net/news/202307/18/tvreport/20230718005204995wmju.jpg)
!["애아빠, 아동수당으로 도박+폭력까지" 절박한 심정으로 SOS [고딩엄빠3]](https://t1.daumcdn.net/news/202307/18/mydaily/20230718004505971gzch.jpg)
!['장백지 스캔들' 사정봉, 10년 만에 아들과 함께 있는 모습 포착 [룩@차이나]](https://t1.daumcdn.net/news/202307/18/tvreport/20230718004034360pmkk.jpg)
![‘결혼지옥’ 사막부부 아내 “빚에 예물까지 팔아.. 남편, 분유 비싸니 모유 수유하라고”[종합]](https://t1.daumcdn.net/news/202307/18/poctan/20230718003031923dkkf.jpg)
![추자현♥ 우효광, ‘동상이몽2’ 4년 만 컴백... ‘6살 子’ 육아 일상 공개 [종합]](https://t1.daumcdn.net/news/202307/18/startoday/20230718002705384wudc.jpg)
![비비 '볼하트에 동그란 토끼 눈'[엑's HD포토]](https://mimgnews.pstatic.net/image/311/2023/07/18/0001617342_001_20230718180303538.jpg?type=w540)
![[포토]소연, 매력만점 하트](https://ssl.pstatic.net/mimgnews/image/112/2023/07/21/202307211149393697310_20230721115005_01_20230721115103586.jpg?type=w540)