4월 18일 이상 신호 ‘최초 감지’부터 4월 30일 국회 청문회까지
[보안뉴스 이소미 기자] SKT의 가입자 인증 서버(HSS)가 해킹 당해 2천 5백만 명의 가입자 유심 정보가 유출됐다. 삼성·현대·네이버·카카오 등 주요 기업들이 전사적 유심 교체 지침을 내리고, 국회는 청문회를 소집했다. 통신망 핵심인 HSS 침해는 전례 없는 사고로 기업의 위기 대응 체계와 보안 구조 전반에 대한 신뢰까지 흔들었다.
▲가입자 유심(USIM) 정보를 탈취당한 SK텔레콤이 유심 무료교체 서비스를 시작한 28일 서울 시내 한 SKT 대리점에 유심들이 놓여 있다. [자료: 연합]
보안업계에서 말하는 ‘골든타임’은 ‘빠르면 빠를수록’이다. 이를 반영하듯 현행 정보통신망법은 사고 인지 후 24시간 내 한국인터넷진흥원(KISA) 또는 과학기술정보통신부에 신고하도록 규정돼 있다. SKT는 4월 18일 이상 징후를 감지했고, 19일 해킹 피해를 확정한 뒤 20일 KISA에 신고했다. 이후 대국민 발표와 국회 청문회가 열리기까지 정확히 2주가 소요됐다. <보안뉴스>는 SKT 해킹사태의 시작부터 청문회까지 2주간의 흐름을 타임라인으로 짚어봤다.
#. 4월 18일 저녁 6시9분, 이상 신호 ‘최초 감지’
SKT 네트워크 인프라센터에서 트래픽 이상 징후를 처음으로 감지했다. 센터 내 정보보호실은 해당 상황을 인프라운용본부에 공유했고 즉각적으로 조사에 착수했다.
#. 4월 18일 밤 11시20분, 실제 ‘악성코드’ 발견
같은 날 밤, 과금분석장비(WCDR)에서 비정상적인 로그와 파일 삭제 흔적을 발견했다. 악성코드 활동 정황이 포착된 것이다. 이 시점은 침해 가능성이 구체화된 단계로, 유심 관련 정보가 유출된 사실은 확인되지 않았다. 이후 민관 합동 조사 결과, 문제의 악성코드는 리눅스 기반 백도어 ‘BPFDoor’로 드러났다. 이 악성코드는 방화벽을 우회해 포트를 노출하지 않는 방식으로 탐지를 회피하는 특징을 갖고 있다. 공격 배후로 일부 보안 기업은 중국계 해커 조직 ‘레드멘션(Red Menshen)’을 지목하기도 했지만, 오픈소스 기반 공격 도구였기에 배후 세력은 특정할 수 없어 현재까지 조사 중이다.
#. 4월 19일 새벽 1시40분, 본격적인 ‘데이터 분석’ 착수
SKT는 악성코드가 발견된 과금분석장비(WCDR)를 즉시 격리 조치하고 본격적인 데이터 분석을 시작했다. 내부 보안 대응 체제를 비상 수준으로 격상하고 침투 경로와 유출 정황에 대한 본격적인 포렌식이 시작됐다. SKT는 내부 보안 대응 체제를 비상 수준으로 격상시켰다.
#. 4월 19일 밤 11시40분, ‘유심 정보 유출’ 내부 확정
악성코드 정황이 포착된 지 약 하루 만에, SKT는 유심 정보 일부가 유출된 사실을 내부적으로 확정했다. 유출된 데이터는 성수 사옥에 설치된 가입자 인증 서버(HSS) 5대 중 3대에서 발생된 것으로 분석 결과를 내부 결정권자에게 보고해야 했다.
이후 SKT는 해당 장비가 방화벽으로 보호된 내부망에 있었지만, 외부 인터넷망과 연결된 일부 경로로 악성코드가 침투하면서 데이터가 외부로 전송됐다고 설명했다. 유출 대상엔 SKT 망을 사용하는 알뜰폰 가입자도 포함된 것으로 파악됐다.
유출된 항목은 이용자의 △전화번호(MSISDN) △국제이동통신가입자식별번호(IMSI) △가입자 인증키(Ki) 등 유심을 개통하거나 인증할 때 필요한 핵심 정보들이다. 이와 관련해 SKT는 유심에 저장된 공인인증서·교통카드·전화번호부 등 유심에 저장된 정보는 통신망과 연동되지 않아 설령 유심 복제가 이루어지더라도 다른 기기로 복제될 위험은 없다고 밝혔다. 또 복제 유심으로 SKT 통신망에 접속할 경우, 이상 접근 패턴을 탐지해 차단하는 ‘비정상인증 차단 시스템(FDS)’도 운영 중에 있다. 민관 합동 1차 조사 결과, 단말기 고유식별번호(IMEI) 유출은 없었다.
#. 4월 20일 오후 3시30분, SKT 내부 결정권자 해킹 사실 ‘보고’
유심 정보 유출 사실이 내부적으로 확정된 이후, 약 15시간이 지난 다음날 오후에 해킹 사실을 SKT 내부 결정권자에게 공식 보고했다.
▲SKT 침해사고 신고 타임라인[자료: KISA]
#. 4월 20일 오후4시46분, KISA 신고... 이후 ‘SKT 봐주기’ 논란 불거져
SKT는 4월 20일 오후 3시 30분 내부 결정권자에게 해킹 사실을 보고한 뒤, 약 1시간 후인 4시 46분 한국인터넷진흥원(KISA)에 침해 사실을 신고했다. 정보통신망법은 침해 사실을 안 시점부터 24시간 내 과학기술정보통신부장관 또는 KISA에 신고하도록 규정하고 있다. SKT는 유심 해킹에 대한 ‘최초 감지 시점’(18일 19시 09분)이 아닌 ‘유출 사실 확정 시점’(19일 23시 30분)을 기준으로 신고했기 때문에 법적 기한을 지켰다는 입장이다.
하지만 KISA가 신고서에 기재된 내부 보고 시점(20일 15시 30분)을 사고 인지 시점으로 판단해 금융당국 등에 전달하면서, 법정 신고 기한을 넘긴 것처럼 비쳐 ‘봐주기식 대응’ 논란이 불거졌다. 이에 대해 KISA는 최초 신고서 작성자가 인지 시점을 18일로 기입했고, 이후 내부 보고 시점으로 정정해 기재한 과정에서 혼선이 발생했다고 해명했다. KISA는 이 같은 논란이 설명 부족에서 비롯된 것으로 보고, 재발 방지 대책을 마련하겠다고 밝혔다.
#. 4월 22일 SKT 고객 유심 정보 유출 ‘공식 발표’
이날 SKT는 “4월 19일 오후 11시쯤 해커의 악성코드 공격으로 SK텔레콤 고객의 유심 관련 일부 정보가 유출된 것으로 의심되는 정황을 발견했다”고 공식 발표했다. 이어 대응책으로 △유심보호서비스 무료 제공 △비정상 인증 차단(FDS) 강화 △시스템 전수 조사 등을 시행해 보안 강화에 최선을 다하겠다고 밝혔다.
#. 4월 23일, 전 고객 대상 ‘유심보호서비스’ 가입 안내 문자 발송 시작
SKT는 4월 28일 전 고객을 대상으로 유심보호서비스 가입을 권장하는 문자메시지 발송을 시작했다. 문자 수신은 순차적으로 진행돼, 일부 고객은 오후 시간대에 해당 안내를 받은 것으로 확인됐다. 이와 관련해 유영상 SKT 대표는 “특정 고객의 정보 유출 여부가 명확하지 않아 개별 통지 방식이 아닌 일괄 권장 안내 형태로 진행하게 됐다”고 밝혔다.
#. 4월 24일, 알뜰폰 고객 대상 유심보호서비스 제공 확대...접속 지연도 발생
SKT 통신망 이용 14개 알뜰폰(MVNO) 사업자 대상 유심보호서비스를 확대 적용하면서 알뜰폰 이용자도 유심 변경 시 본인 확인 절차를 추가하는 방식으로 보안을 강화할 수 있게 됐다. 다만 문자 발송과 동시에 서비스 접속이 몰리며 T월드 앱과 홈페이지 접속 지연과 오류 현상이 일시적으로 발생하기도 했다.
#. 4월 25일, 전 고객 대상 ‘유심 무상 교체’ 발표... 일부 혼선도
유심보호서비스 제공에 이어 전체 고객을 대상으로 유심카드(eSIM 포함) 무상 교체를 전국 T월드 매장과 공항 로밍센터에서 28일부터 전격 실시하겠다고 발표했다. 기존에 유심 교체 비용 자비 부담 고객에겐 소급 환급도 적용키로 했다. 하지만 교체 시행을 앞두고 고객센터와 유심 재고 확보 및 안내 절차 등 일부 혼선이 빚어졌다.
#. 4월 26일, 전국적 유심 재고 부족 현상
일부 매장에는 ‘유심칩 마감’ 안내문이 게시됐고, 고객들은 긴 대기 시간에도 불구하고 유심을 교체하지 못하는 상황이 벌어졌다.
#. 4월 27일, 고객 불만 증가에 유심보호서비스 가입 재차 권고
SKT는 고객들에게 유심보호서비스 가입을 권고하는 대고객 입장문을 발표했다.
#. 4월 28일, 유심 무상 교체 첫날...전국 매장 혼잡·재고 부족
전국 T월드 매장 및 공항 로밍센터에서 전 고객 대상 유심 무상 교체를 본격 시행했지만 첫날부터 유심 교체를 희망하는 고객이 몰리며 대기시간이 길어졌고, 일부 매장에서는 유심 재고가 조기 소진돼 불편이 발생했다. SKT는 유심 개통에는 전산 처리가 필수이며, 인당 일일 처리 수량이 한정돼 있어 순차적으로 대응할 수밖에 없다며 5~6월에 각각 500만 개씩 총 1,000만 개 유심 재고를 추가 확보할 예정이라고 밝혔다.
# 4월 29일, 유심 유출 정보 범위 공개...민관합동조사단 1차 결과 발표
SKT 유심 해킹 사태에 대한 민관합동조사단의 1차 중간 발표가 4월 29일 이뤄졌다. 정부와 SK텔레콤 측은 이번 유출 정보만으로는 즉시 피해가 발생하진 않았다고 설명하면서도, 불법 유심 복제 및 통신망 무단 접근을 방지하기 위해 비정상 인증 시도 차단 시스템(FDS)을 최고 수준으로 격상하고, 유심보호서비스 가입 확대를 추진하고 있다고 강조했다.
#. 4월 30일, 국회 청문회 개최...경찰, 정식 수사 착수
국회 과학기술정보방송통신위원회는 SK텔레콤 유심 해킹 사태와 관련해 청문회를 열고 유영상 SKT 대표를 증인으로 불러 질의했다. 청문회에서는 유심 교체 지연, 위약금 면제 여부, 디지털 취약계층 대응책 등이 쟁점으로 다뤄졌다.
#. 5월 8일, SKT 단독 청문회 개최 예정
한편, 국회는 오는 8일 열리는 SKT 단독 청문회에 최태원 SK그룹 회장을 증인으로 불러 위약금 문제에 대해 집중 질의할 예정이다.
[이소미 기자(boan4@boannews.com)]
[보안뉴스 이소미 기자] SKT의 가입자 인증 서버(HSS)가 해킹 당해 2천 5백만 명의 가입자 유심 정보가 유출됐다. 삼성·현대·네이버·카카오 등 주요 기업들이 전사적 유심 교체 지침을 내리고, 국회는 청문회를 소집했다. 통신망 핵심인 HSS 침해는 전례 없는 사고로 기업의 위기 대응 체계와 보안 구조 전반에 대한 신뢰까지 흔들었다.
▲가입자 유심(USIM) 정보를 탈취당한 SK텔레콤이 유심 무료교체 서비스를 시작한 28일 서울 시내 한 SKT 대리점에 유심들이 놓여 있다. [자료: 연합]
보안업계에서 말하는 ‘골든타임’은 ‘빠르면 빠를수록’이다. 이를 반영하듯 현행 정보통신망법은 사고 인지 후 24시간 내 한국인터넷진흥원(KISA) 또는 과학기술정보통신부에 신고하도록 규정돼 있다. SKT는 4월 18일 이상 징후를 감지했고, 19일 해킹 피해를 확정한 뒤 20일 KISA에 신고했다. 이후 대국민 발표와 국회 청문회가 열리기까지 정확히 2주가 소요됐다. <보안뉴스>는 SKT 해킹사태의 시작부터 청문회까지 2주간의 흐름을 타임라인으로 짚어봤다.
#. 4월 18일 저녁 6시9분, 이상 신호 ‘최초 감지’
SKT 네트워크 인프라센터에서 트래픽 이상 징후를 처음으로 감지했다. 센터 내 정보보호실은 해당 상황을 인프라운용본부에 공유했고 즉각적으로 조사에 착수했다.
#. 4월 18일 밤 11시20분, 실제 ‘악성코드’ 발견
같은 날 밤, 과금분석장비(WCDR)에서 비정상적인 로그와 파일 삭제 흔적을 발견했다. 악성코드 활동 정황이 포착된 것이다. 이 시점은 침해 가능성이 구체화된 단계로, 유심 관련 정보가 유출된 사실은 확인되지 않았다. 이후 민관 합동 조사 결과, 문제의 악성코드는 리눅스 기반 백도어 ‘BPFDoor’로 드러났다. 이 악성코드는 방화벽을 우회해 포트를 노출하지 않는 방식으로 탐지를 회피하는 특징을 갖고 있다. 공격 배후로 일부 보안 기업은 중국계 해커 조직 ‘레드멘션(Red Menshen)’을 지목하기도 했지만, 오픈소스 기반 공격 도구였기에 배후 세력은 특정할 수 없어 현재까지 조사 중이다.
#. 4월 19일 새벽 1시40분, 본격적인 ‘데이터 분석’ 착수
SKT는 악성코드가 발견된 과금분석장비(WCDR)를 즉시 격리 조치하고 본격적인 데이터 분석을 시작했다. 내부 보안 대응 체제를 비상 수준으로 격상하고 침투 경로와 유출 정황에 대한 본격적인 포렌식이 시작됐다. SKT는 내부 보안 대응 체제를 비상 수준으로 격상시켰다.
#. 4월 19일 밤 11시40분, ‘유심 정보 유출’ 내부 확정
악성코드 정황이 포착된 지 약 하루 만에, SKT는 유심 정보 일부가 유출된 사실을 내부적으로 확정했다. 유출된 데이터는 성수 사옥에 설치된 가입자 인증 서버(HSS) 5대 중 3대에서 발생된 것으로 분석 결과를 내부 결정권자에게 보고해야 했다.
이후 SKT는 해당 장비가 방화벽으로 보호된 내부망에 있었지만, 외부 인터넷망과 연결된 일부 경로로 악성코드가 침투하면서 데이터가 외부로 전송됐다고 설명했다. 유출 대상엔 SKT 망을 사용하는 알뜰폰 가입자도 포함된 것으로 파악됐다.
유출된 항목은 이용자의 △전화번호(MSISDN) △국제이동통신가입자식별번호(IMSI) △가입자 인증키(Ki) 등 유심을 개통하거나 인증할 때 필요한 핵심 정보들이다. 이와 관련해 SKT는 유심에 저장된 공인인증서·교통카드·전화번호부 등 유심에 저장된 정보는 통신망과 연동되지 않아 설령 유심 복제가 이루어지더라도 다른 기기로 복제될 위험은 없다고 밝혔다. 또 복제 유심으로 SKT 통신망에 접속할 경우, 이상 접근 패턴을 탐지해 차단하는 ‘비정상인증 차단 시스템(FDS)’도 운영 중에 있다. 민관 합동 1차 조사 결과, 단말기 고유식별번호(IMEI) 유출은 없었다.
#. 4월 20일 오후 3시30분, SKT 내부 결정권자 해킹 사실 ‘보고’
유심 정보 유출 사실이 내부적으로 확정된 이후, 약 15시간이 지난 다음날 오후에 해킹 사실을 SKT 내부 결정권자에게 공식 보고했다.
▲SKT 침해사고 신고 타임라인[자료: KISA]
#. 4월 20일 오후4시46분, KISA 신고... 이후 ‘SKT 봐주기’ 논란 불거져
SKT는 4월 20일 오후 3시 30분 내부 결정권자에게 해킹 사실을 보고한 뒤, 약 1시간 후인 4시 46분 한국인터넷진흥원(KISA)에 침해 사실을 신고했다. 정보통신망법은 침해 사실을 안 시점부터 24시간 내 과학기술정보통신부장관 또는 KISA에 신고하도록 규정하고 있다. SKT는 유심 해킹에 대한 ‘최초 감지 시점’(18일 19시 09분)이 아닌 ‘유출 사실 확정 시점’(19일 23시 30분)을 기준으로 신고했기 때문에 법적 기한을 지켰다는 입장이다.
하지만 KISA가 신고서에 기재된 내부 보고 시점(20일 15시 30분)을 사고 인지 시점으로 판단해 금융당국 등에 전달하면서, 법정 신고 기한을 넘긴 것처럼 비쳐 ‘봐주기식 대응’ 논란이 불거졌다. 이에 대해 KISA는 최초 신고서 작성자가 인지 시점을 18일로 기입했고, 이후 내부 보고 시점으로 정정해 기재한 과정에서 혼선이 발생했다고 해명했다. KISA는 이 같은 논란이 설명 부족에서 비롯된 것으로 보고, 재발 방지 대책을 마련하겠다고 밝혔다.
#. 4월 22일 SKT 고객 유심 정보 유출 ‘공식 발표’
이날 SKT는 “4월 19일 오후 11시쯤 해커의 악성코드 공격으로 SK텔레콤 고객의 유심 관련 일부 정보가 유출된 것으로 의심되는 정황을 발견했다”고 공식 발표했다. 이어 대응책으로 △유심보호서비스 무료 제공 △비정상 인증 차단(FDS) 강화 △시스템 전수 조사 등을 시행해 보안 강화에 최선을 다하겠다고 밝혔다.
#. 4월 23일, 전 고객 대상 ‘유심보호서비스’ 가입 안내 문자 발송 시작
SKT는 4월 28일 전 고객을 대상으로 유심보호서비스 가입을 권장하는 문자메시지 발송을 시작했다. 문자 수신은 순차적으로 진행돼, 일부 고객은 오후 시간대에 해당 안내를 받은 것으로 확인됐다. 이와 관련해 유영상 SKT 대표는 “특정 고객의 정보 유출 여부가 명확하지 않아 개별 통지 방식이 아닌 일괄 권장 안내 형태로 진행하게 됐다”고 밝혔다.
#. 4월 24일, 알뜰폰 고객 대상 유심보호서비스 제공 확대...접속 지연도 발생
SKT 통신망 이용 14개 알뜰폰(MVNO) 사업자 대상 유심보호서비스를 확대 적용하면서 알뜰폰 이용자도 유심 변경 시 본인 확인 절차를 추가하는 방식으로 보안을 강화할 수 있게 됐다. 다만 문자 발송과 동시에 서비스 접속이 몰리며 T월드 앱과 홈페이지 접속 지연과 오류 현상이 일시적으로 발생하기도 했다.
#. 4월 25일, 전 고객 대상 ‘유심 무상 교체’ 발표... 일부 혼선도
유심보호서비스 제공에 이어 전체 고객을 대상으로 유심카드(eSIM 포함) 무상 교체를 전국 T월드 매장과 공항 로밍센터에서 28일부터 전격 실시하겠다고 발표했다. 기존에 유심 교체 비용 자비 부담 고객에겐 소급 환급도 적용키로 했다. 하지만 교체 시행을 앞두고 고객센터와 유심 재고 확보 및 안내 절차 등 일부 혼선이 빚어졌다.
#. 4월 26일, 전국적 유심 재고 부족 현상
일부 매장에는 ‘유심칩 마감’ 안내문이 게시됐고, 고객들은 긴 대기 시간에도 불구하고 유심을 교체하지 못하는 상황이 벌어졌다.
#. 4월 27일, 고객 불만 증가에 유심보호서비스 가입 재차 권고
SKT는 고객들에게 유심보호서비스 가입을 권고하는 대고객 입장문을 발표했다.
#. 4월 28일, 유심 무상 교체 첫날...전국 매장 혼잡·재고 부족
전국 T월드 매장 및 공항 로밍센터에서 전 고객 대상 유심 무상 교체를 본격 시행했지만 첫날부터 유심 교체를 희망하는 고객이 몰리며 대기시간이 길어졌고, 일부 매장에서는 유심 재고가 조기 소진돼 불편이 발생했다. SKT는 유심 개통에는 전산 처리가 필수이며, 인당 일일 처리 수량이 한정돼 있어 순차적으로 대응할 수밖에 없다며 5~6월에 각각 500만 개씩 총 1,000만 개 유심 재고를 추가 확보할 예정이라고 밝혔다.
# 4월 29일, 유심 유출 정보 범위 공개...민관합동조사단 1차 결과 발표
SKT 유심 해킹 사태에 대한 민관합동조사단의 1차 중간 발표가 4월 29일 이뤄졌다. 정부와 SK텔레콤 측은 이번 유출 정보만으로는 즉시 피해가 발생하진 않았다고 설명하면서도, 불법 유심 복제 및 통신망 무단 접근을 방지하기 위해 비정상 인증 시도 차단 시스템(FDS)을 최고 수준으로 격상하고, 유심보호서비스 가입 확대를 추진하고 있다고 강조했다.
#. 4월 30일, 국회 청문회 개최...경찰, 정식 수사 착수
국회 과학기술정보방송통신위원회는 SK텔레콤 유심 해킹 사태와 관련해 청문회를 열고 유영상 SKT 대표를 증인으로 불러 질의했다. 청문회에서는 유심 교체 지연, 위약금 면제 여부, 디지털 취약계층 대응책 등이 쟁점으로 다뤄졌다.
#. 5월 8일, SKT 단독 청문회 개최 예정
한편, 국회는 오는 8일 열리는 SKT 단독 청문회에 최태원 SK그룹 회장을 증인으로 불러 위약금 문제에 대해 집중 질의할 예정이다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
