SKT 해킹이 남긴 교훈, 44개월간 왜 몰랐나

작성일 07-09

<div id="layerTranslateNotice" style="display:none;"></div> 박용규 KISA 사고분석단장, SKT 조사 결과 공유 "해커, 네트워크 무력화보단 정보 수집 및 서버 침투 거점 확보에 중점" "개인정보 관리 분명히 부실…피해자 위치 아냐, 즉각 신고해야" 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="btF192tshf">
 <figure class="figure_frm origin_fig" contents-hash="6b4291d28cb820c50f35ca502a98a92fa9f5549334f3de087cc725d52be059f4" dmcf-pid="KF3t2VFOlV" dmcf-ptype="figure">
 <img alt="[서울=뉴시스]오동현 기자 = 박용규 한국인터넷진흥원(KISA) 사고분석단장은 9일 서울 용산에서 열린 '제14회 정보보호의 날 기념 컨퍼런스'에서 SK텔레콤 해킹 사고 조사 결과를 공유했다. 2025.07.09. odong85@newsis.com" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/09/newsis/20250709184133730jkpo.jpg" data-org-width="720" dmcf-mid="BP4VnLf5T4" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/09/newsis/20250709184133730jkpo.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 [서울=뉴시스]오동현 기자 = 박용규 한국인터넷진흥원(KISA) 사고분석단장은 9일 서울 용산에서 열린 '제14회 정보보호의 날 기념 컨퍼런스'에서 SK텔레콤 해킹 사고 조사 결과를 공유했다. 2025.07.09. odong85@newsis.com
 </figcaption>
 </figure>
 [서울=뉴시스] 오동현 기자 = SK텔레콤을 공격한 해커의 목적은 '정보 수집'이었을 것으로 추정됐다. 사용된 악성코드의 특징을 볼 때 네트워크 무력화보다는 정보 수집 및 서버 침투 거점 확보에 중점을 둔 것으로 판단된다는 것이다.
 박용규 한국인터넷진흥원(KISA) 사고분석단장은 9일 서울 용산에서 과학기술정보통신부, 국가정보원, 행정안전부가 주최한 '제14회 정보보호의 날 기념 컨퍼런스'에 강연자로 나서 SK텔레콤 해킹 사고 조사 결과를 공유했다. 
 박 단장에 따르면 이번 SKT 해킹 사고는 2021년 8월부터 2025년 4월까지 약 3년8개월간 지속된 장기간 침투 공격으로, 최종적으로 2695만 건의 유심(USIM) 정보가 유출된 대규모 피해를 낳았다.
 SKT 해킹 사고는 여러 특징으로 인해 조사가 매우 어려웠다고 박 단장은 설명했다. 폐쇄망 내에서 데이터가 유출됐고, 은닉성이 강한 악성코드가 사용됐으며, SKT의 내부 모니터링 체계가 미흡했다는 점을 꼽았다.
 특히 통신사 특성상 복잡한 내부 네트워크 구성과 방대한 장비 수로 인해 조사 범위가 광범위했다. 총 4만 2000여 대의 서버 중 28개 서버에서 33종의 악성코드가 발견됐다. KISA는 피해 확산 우려로 인해 전수 점검을 총 6번에 걸쳐 실시해야 했다고 전했다. 
 박 단장은 "네트워크 자체가 굉장히 복잡했고, 내부 담당자조차도 자신의 업무 영역을 벗어나면 상황을 판단하기 어려운 상황이었다"고 당시 조사의 어려움을 토로했다.
 조사 결과, 해커의 공격은 2021년 8월부터 시작돼 3단계에 걸쳐 이뤄진 것으로 추정됐다. 초기 침투 단계에서는 코어망에서 통신 정보 수집에 집중했고, 거점 확보 단계에서는 고객 관리망으로 침투를 확대해 고객 정보를 추가 수집했다. 마지막 단계에서는 올해 4월 18일 HCS 서버에 저장된 유심 정보 2695만 건을 외부로 유출했다.
 박 단장은 "해커는 이제 기업을 직접 공격하기보다는 기업에 침투하기 위한 여러 수단들을 찾고, 그 수단들의 문제점을 통해 기업 내부로 접근하는 활동을 하고 있다"면서 "사용된 악성코드의 특징을 보면 네트워크 무력화보다는 정보 수집과 서버 침투 거점 확보에 중점을 둔 것으로 판단된다"고 분석했다.
 박 단장이 지적한 SK텔레콤 사고의 구체적인 문제점은 ▲유심 정보 관리 부실 ▲과거 침해 사고 대응 미흡 ▲정보통신망법 위반 및 신고 지연 정보통신망법 위반 및 신고 지연 ▲로그 부재 및 복잡한 네트워크 설정 ▲내부 자산 관리 체계 부재 ▲정보보호최고책임자(CISO) 소통 부재 및 거버넌스 기능 문제 등 6가지다. 
 SK텔레콤은 과거 수년 동안 똑같은 계정 정보와 비밀번호를 계속 사용한 것으로 확인됐다. 박 단장은 "개인정보 관리가 분명히 부실했고, 체계적 관리가 이뤄지지 않았다"고 밝혔다. 
 또 SK텔레콤은 2022년 2월 서버 비정상 재부팅과 악성코드 발견이라는 전조 증상이 있었음에도 제대로 조치하지 않았다. 당시 발견된 악성코드가 이번 사고에서 재사용된 것으로 드러났다. 특히 SKT가 당시 상황에 대해 신고하지 않아 정상적인 조사가 이뤄지지 않았다고 박 단장은 설명했다.
 아울러 박 단장은 "충분한 기간의 로그가 없어 정확한 조사 접근에 많은 장애물이 있었다"며 "폐쇄망임에도 공인 IP가 설정돼 있다는 것은 더 이상 폐쇄망이 아니다"라고 지적했다. 이어 "4만 2000여 대 서버가 있는지도 파악하기 힘들 정도였으며, 전수 점검을 6차례에 걸쳐 실시할 정도로 많은 인력과 시간이 투입됐다"고 설명했다.
 박 단장은 해킹 피해 기업들이 신고를 주저하는 현실에 대해서도 언급했다. "해킹을 당한 기업은 피해자이면서 동시에 개인정보 유출의 원인 제공자라는 양면성을 가진다"며 "피해자로 시작됐지만 피의자로 전환될 가능성이 있어 기업들이 신고를 망설이는 요인이 된다"고 설명했다.
 다만 "최근에는 더 이상 피해자만의 위치가 아니다. 기업도 어느 정도 책임을 가져야 하는 단계"라며 기업의 책임 의식 제고가 필요하다고 강조했다. 
 박 단장은 "KISA는 신고가 들어왔을 때 "정확한 원인 분석과 피해 방지가 목표이기 때문에 기업의 기밀은 충분히 보장하려고 노력하고 있다"며 "사고 원인 분석 및 대응이 다른 곳으로의 피해 확산을 막는 중요한 역할을 한다는 인식을 기업들이 가져야 한다"고 당부했다.
 ☞공감언론 뉴시스 odong85@newsis.com 
 </section> 
 </div> 
 Copyright © 뉴시스. 무단전재 및 재배포 금지.

이전

'살롱 드 홈즈' 제작진, 故 박지아 추모 영상 공개 "기억하겠습니다"

07-09
다음

‘한여름 크리스마스’ 들고 온 그룹 클로즈유어아이즈

07-09

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

SKT 해킹이 남긴 교훈, 44개월간 왜 몰랐나

멤버랭킹

관련자료

멤버랭킹