"28만대만 감염 맞나" KISA, SKT 해킹 대응 "속도가 핵심"

작성일 07-09

<div id="layerTranslateNotice" style="display:none;"></div> 제14회 정보보호의 날 컨퍼런스…"사이버 침해 미치는 영향 충분히 고민해야" 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="VKk10pTNSP">
 <figure class="figure_frm origin_fig" contents-hash="e6af04d3db01330ed429f59a85d9f23d24a088d36fe50f425c8f98d400d226bb" dmcf-pid="f2DFUuWAW6" dmcf-ptype="figure">
 <img alt="박용규 한국인터넷진흥원(KISA) 단장이 9일 서울드래곤시티에서 열린 제14회 정보보호의 날 컨퍼런스에서 'Time &amp; Incident Response(보안 사고 발생 시 신속한 대응의 중요성)' 발표를 하고 있다.ⓒ데일리안 조인영 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/09/dailian/20250709172534671dnqx.jpg" data-org-width="700" dmcf-mid="7lqgAcMUC5" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/09/dailian/20250709172534671dnqx.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 박용규 한국인터넷진흥원(KISA) 단장이 9일 서울드래곤시티에서 열린 제14회 정보보호의 날 컨퍼런스에서 'Time &amp; Incident Response(보안 사고 발생 시 신속한 대응의 중요성)' 발표를 하고 있다.ⓒ데일리안 조인영 기자
 </figcaption>
 </figure>
 SK텔레콤(SKT) 해킹 사고와 관련해 실제 감염 서버 수에 대한 의문이 제기되는 가운데 박용규 한국인터넷진흥원(KISA) 단장은 "시간과의 싸움 속에서 핵심 원인을 얼마나 빠르게 찾아 대응했느냐가 이번 사고 해결의 핵심"이라고 9일 밝혔다.
 시간과의 싸움에서 전체 서버를 다 보는 것보다는 공격의 흐름(프로세스)과 핵심 감염 지점을 빨리 파악해 대응하는 것이 현실적이고 효과적이라는 설명이다.
 박용규 단장은 이날 서울드래곤시티에서 열린 제14회 정보보호의 날 컨퍼런스에서 'Time &amp; Incident Response(보안 사고 발생 시 신속한 대응의 중요성)' 발표를 통해 이같이 말했다.
 앞서 과기정통부는 지난 4일 SK텔레콤 침해사고 최종 조사결과를 발표하며 전체 서버 4만2605대 중 감염서버 총 28대, 악성코드 총 33종을 확인했다고 밝혔다.
 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82GB(기가바이트), IMSI 기준 약 2696만건이다.
 박 단장은 "일각에서는 정말 28대만 감염된 것이 맞느냐고 묻는다. 마음 같아서는 4만2000대를 전부 보고 싶지만 실제로 IR(Incident Response, 사고 대응)에서는 그러한 상황을 누구도 받아들이지 않는다"면서 시간 제약 속에서 핵심 원인을 신속히 파악하고 빠르게 대응하는 것이 더 중요했다고 강조했다.
 KISA는 SK텔레콤의 최초 침해사고 신고 이후, 해당 서버를 중심으로 디지털 포렌식을 수행해 단서를 확보했다. 이 바탕으로 감염이 다른 시스템으로 확산됐는지 여부에 대해 전수 점검도 실시했다.
 또 추가 침해 가능성에 대비해 EDR(단말 위협 탐지·대응 솔루션)이나 백신 등 엔드포인트 보안 솔루션을 신속히 도입하도록 안내했으며, 발견된 악성코드는 즉시 삭제하고 관련 조치를 통해 재발 방지를 위한 대응도 병행했다.
 KISA는 이러한 조치를 통해 사고 확산을 차단하고, 추가 피해를 방지하는 데 주력했다고 설명했다.
 SKT 침해 사고는 크게 ▲관리·코어망 초기침투 ▲고객관리망 거점 확보 ▲감염 확산 &amp; 정보 유출 세 가지 단계로 전개됐다.
 해커는 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버A에 접속 후 타 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드(CrossC2)를 2021년 8월 6일에 설치했다.
 이후 해커는 2022년 6월 12일과 22일 서버 접속 후, 악성코드(웹쉘, BPFDoor)를 설치했고 2023년 11월 30일부터 2025년 4월 21일에 걸쳐 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치했다.
 박 단장은 "해커는 침투하고, 내부 상황을 파악한 뒤 데이터를 확보하고 노출하는 과정을 거쳤을 것"이라며 "처음부터 데이터를 탈취하지 않은 것은 복잡한 네트워크 환경을 가진 기업을 대상으로 공격할 때는 충분한 분석 시간과 함께, 어떤 공격 도구를 적용할지 판단하는 시간이 필요했기 때문"이라고 말했다.
 해커의 정보 유출 목적은 네트워크 무력화 보다는 정보 수집 가능성에 무게를 뒀다.
 <figure class="figure_frm origin_fig" contents-hash="a47e79df0d4f2d9e06648e448fb218736cdad4fd7bd5c53f35346c9b9e79afc7" dmcf-pid="tFJSWYwMT0" dmcf-ptype="figure">
 <img alt="박용규 한국인터넷진흥원(KISA) 단장이 9일 서울드래곤시티에서 열린 제14회 정보보호의 날 컨퍼런스에서 'Time &amp; Incident Response(보안 사고 발생 시 신속한 대응의 중요성)' 발표를 하고 있다.ⓒ데일리안 조인영 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/09/dailian/20250709172536007eoeu.jpg" data-org-width="700" dmcf-mid="2NI7bK5rhQ" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/09/dailian/20250709172536007eoeu.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 박용규 한국인터넷진흥원(KISA) 단장이 9일 서울드래곤시티에서 열린 제14회 정보보호의 날 컨퍼런스에서 'Time &amp; Incident Response(보안 사고 발생 시 신속한 대응의 중요성)' 발표를 하고 있다.ⓒ데일리안 조인영 기자
 </figcaption>
 </figure>
 이번 사이버 침해 사고 문제점으로는 계정정보 관리 부실, 과거 침해사고 대응 미흡, 주요 정보 암호화 조치 미흡 등이 지목된다.
 SK텔레콤은 감염이 확인된 HSS 관리서버 계정 정보를 타 서버에 평문으로 저장했다. 조사단은 공격자가 같은 계정정보를 활용해 HSS 관리서버 및 HSS를 감염시킨 것을 확인했다.
 지난 2022년 2월 23일 특정 서버에서 비정상 재부팅이 발생함에 따라 해당 서버 및 연계된 서버들을 점검하는 과정에서 악성코드에 감염된 서버를 발견해 조치했으나 신고 의무는 이행하지 않은 것도 드러났다.
 유출 정보 중 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값 암호화를 세계이동통신사업자협회(GSMA)가 권고하고 있음에도 SK텔레콤은 암호화하지 않고 저장한 것도 문제가 됐다.
 박 단장은 "평문 관리, 과거 몇 년간 똑같은 계정 정보와 비밀번호를 사용하고 있었던 문제점이 있었다"면서 "동일 공격자가 과거부터 꾸준히 내부에 침투하려고 했고 악성 코드를 감염시키는 활동이 진행됐기에 당시 초기 대응이 잘 이뤄졌다면 큰 사고로 이어지지 않았을 것이라는 게 조사단의 결론"이라고 말했다.
 이어 "보안 로그 조차도 충분히 남아있지 않아 원인 파악에 어려움이 있었다"고 면서 IT와 네트워크 분리로 이번 사고를 IT 부문이 통제하지 못한 것도 전체 거버넌스 체계의 문제점이라고 지적했다.
 끝으로 그는 "사이버 침해 사고가 조직 전체에 미치는 상황을 충분히 고려하고 검토해 정책으로 적용하고 실무에서 활용할 수 있도록 고민하는 과정"이 필요하다고 덧붙였다.
 </section> 
 </div> 
 Copyright © 데일리안. 무단전재 및 재배포 금지.

이전

KCC, 2025년 소비자웰빙환경만족지수 창호·친환경페인트·천장재 부문 1위 석권

07-09
다음

선수도 관중도 덥다, 스포츠계는 폭염과 한판승부

07-09

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

"28만대만 감염 맞나" KISA, SKT 해킹 대응 "속도가 핵심"

멤버랭킹

관련자료

멤버랭킹