세계일보

SK텔레콤 해킹 사고로 총 28대의 서버가 공격받은 것으로 조사됐다. 악성코드는 33종 발견됐다. 다만 이번 해킹 사고로 인한 실제 피해는 발생하지 않은 것으로 나타났다.

과학기술정보통신부는 4일 이같은 내용의 SKT 침해 사고 민관합동조사단 조사 결과를 발표했다. 

조사단은 지난 4월20일 SKT가 한국인터넷진흥원에 침해사실을 신고한뒤 4월23일부터 지난달 27일까지 두 달여간 피해 현황과 사고 원인 등을 조사했다.

조사단이 SKT 전체 서버 4만2605대를 대상으로 강도 높은 조사를 시행한 결과 이번 침해사고로 공격받은 서버는 총 28대였다. 해당 서버에 대한 포렌식 분석 결과 BPFDoor 27종을 포함한 악성코드 33종이 확인됐다.

유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82기가바이트(GB), IMSI 기준 약 2696만건이었다.

조사단은 감염서버 중 단말기식별번호(IMEI)와 이름·생년월일·전화번호 등 개인정보가 평문으로 임시 저장된 서버 2대, 통화시간 및 수발신자 전화번호 등이 포함된 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했다. 정밀 분석 결과 방화벽 로그기록이 남아있는 기간에는 자료유출 정황이 없는 것으로 확인됐다. 과기정통부는 “다만 악성코드 감염시점부터 로그기록이 없는 기간에는 유출여부를 확인하는 것이 불가능했다”고 덧붙였다.

조사단이 확인한 가장 빠른 감염 시기는 2021년 8월6일이다. 공격자가 외부 인터넷 연결 접점이 있는 시스템 관리망 내 한 서버에 접속한 뒤 타 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드(CrossC2)를 설치했다. 

해당 서버에는 당시 시스템 관리망 내 서버들의 ID, 비밀번호 등 계정 정보가 평문으로 저장돼 있었다. 공격자는 해당 계정정보를 활용해 타 서버에 접속한 것으로 추정된다.

공격자는 초기 침투과정에서 확보한 계정 정보를 활용해 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치했다. 이같은 공격은 2023년 11월30일부터 지난 4월21일까지 1년5개월에 걸쳐 이뤄졌다. 이후 공격자는 9.82GB 상당의 유심정보를 시스템 관리망 내 외부 인터넷 연결 접점이 있는 한 서버를 통해 유출했다.

과기정통부는 “SKT는 △계정정보 관리 부실 △과거 침해사고 대응 미흡 △주요 정보 암호화 조치 미흡 등 세 가지 문제점이 있다”고 지적했다. SKT는 서버 로그인 ID·비밀번호를 안전하게 관리해야 하지만 계정정보를 타 서버에 평문으로 저장했고, 2022년 2월23일 특정 서버에서 발생한 비정상적인 재부팅에 대한 점검 과정에서 악성코드가 감염된 서버를 발견해 조치했지만 정보통신망법에 따른 신고 의무를 이행하지 않았다. 또 유출 정보 중 유심 복제에 활용될 수 있는 중요 정보인 유심 인증키 값의 경우 세계이동통신사업자협회(GSMA)에서 암호화를 권고하고 있지만, SKT는 암호화 없이 저장한 것으로 나타났다.

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]