[보안뉴스 한세희·조재호 기자] SK텔레콤 시스템이 해킹 당해 고객 유심(USIM) 정보가 유출됐다.
SK텔레콤은 19일 밤 악성코드로 사내 시스템에서 고객 유심 정보가 유출된 정황을 발견해 20일 한국인터넷진흥원(KISA)에 신고했다. 22일엔 개인정보보호위원회에도 신고했다.
문제가 된 시스템은 가입자 전화번호와 고유식별번호 등 유심 정보와 음성 서비스 제공에 필요한 정보 등을 통합 관리하는 ‘홈가입자서버’(HSS)이다. 가입자 정보를 관리하는 중앙집중화된 데이터베이스로, 사용자 등록 및 변경 관리, 인증, 권한 부여, 과금 등 광범위한 가입자 정보를 관리한다.
SK텔레콤은 유출 가능성을 인지한 후 문제의 악성 코드를 즉시 삭제하고, 해킹 의심 장비도 격리 조치했다. 이 정보가 악용된 사례는 아직 나타나지 않았다고 회사측은 밝혔다.
현재 정확한 유출 원인과 규모, 항목 등을 파악 중이다. 과학기술정보통신부는 비상대책반을 가동했고, KISA 전문가가 파견돼 현장 조사를 지원하고 있다.
하지만, 유심 정보 유출 후폭풍에서 자유롭지 못한 상황이다. 전형적인 2차 피해는 공격자가 타인의 IMSI 정보를 이용, 마치 자신의 바로 그 타인인 것처럼 네트워크에 접속하는 이른바 스푸핑(Spoofing) 공격이다. 이를 통해 전화 내용이나 문자 정보, 위치 추적, 과금 피해 등이 가능하다.
IMSI(International Mobile Subscriber Identity)는 심 카드에 저장된 사용자 고유식별 번호다. 네트워크 접속시 사용된다. IMSI는 15자로 구성된다. 구조는 MCC + MNC + 전화번호다. 대한민국 MCC(Mobile Country Code)는 450이다. SKT의 MNC(Mobile Network Code)는 05다. 예컨대, 전화번호가 12345678이면 SKT 가입자 IMSI는 4500512345678인 식이다.
홍동철 엠시큐어 대표는 “피해가 의심되면 바로 통신사에 신고 또는 문의해야 한다”며 “특히, 스파이 감시 방지와 같은 보안 프로그램 등을 통해 추가 정보유출을 막아야 한다”고 강조했다.
고도의 핀셋 공격? 내부 소행?
공격 방식이나 침투 경로를 확인하긴 이른 단계이다. 국내에서 가장 보안이 강하다고 평가되는 SKT 핵심 서버를 공략한 것으로 보아 높은 수준의 해커들이 장기 진행한 작업 결과라는 추측이 나온다. 주변 서버나 시스템에 대한 접근 권한을 얻어 조금씩 권한을 높여가며 상위 시스템으로 올라갔다는 것이다.
내부 직원의 실수나 고의일 가능성 역시 배제하기 어렵다. 이 정도 내부 중요 시스템이라면 망분리 등을 통해 외부에서 접근하는 것 자체를 불가능하게 만들어 놓았을 것이라는 추측이다.
반면, 과거 다른 경로로 내부에 심겨져 잠복해 있던 악성코드가 발동된 것이라는 분석도 나온다. 해커들이 뿌려 둔 다양한 공격 중 일부가 작동한 우연적 상황일 수 있다는 것이다. 이런 추정 역시 강한 보안 조치가 된 HSS를 뚫기 쉽지 않다는 점에 근거를 두고 있다.
익명을 원한 정보보호 분야 전문가는 “해커 그룹의 조직적 캠페인이 아닌 이상 이런 공격은 우연히 걸리는 경우가 대다수”라고 말했다.
어느 경우이건 어떤 경로로, 얼마나 많은 공격이 이뤄지고 있는지 파악하기 어렵다는 불확실성이 문제다. 전상훈 웨비즘 대표는 “내부망에 대한 공격 방식과 공격 범위를 아직 파악하지 못한 상태여서 위험성이 더 높은 상태라 할 수 있다”며 “랜섬웨어 공격자들은 다양한 방식으로 내부를 침입하고, 오랜 기간에 걸쳐 침입 경로를 만드는 것이 일반적이기 때문에, 앞으로 피해 범위가 더 광범위하게 드러날 수 있다”고 말했다.
피해를 최소화하기 위해 현재 SKT가 진행 중인 전체 시스템 전수 조사에 속도를 내야 할 상황이라는 평가다.
심(SIM) 스와핑 후, 게임 아이템 가로챌 수도
이번 데이터 유출로 인한 2차 피해 가능성도 우려된다. 유심은 통신망에서 가입자를 식별하는 식별 정보를 담고 있다. 그 자체로 개인정보라 하긴 어렵다. 하지만 통신사는 유심 정보와 연결되는 사용자 전화번호와 이름 등 개인정보를 갖고 있다. 만에 하나 다른 시스템도 공격당했다면 파급이 클 수 있다.
유심 정보를 다른 유심에 복제하는 심 스와핑 공격의 현실화가 가장 우려되는 문제다. 대포폰이나 대포 차량 구매에 악용될 수 있다. SMS를 통한 휴대폰 본인인증이 무력화돼 금융 앱 등을 통해 다른 사람의 돈을 가로챌 수도 있다. 기기정보를 수집하는 모바일 앱의 경우, 심 스와핑 공격으로 단말기식별번호(IMEI) 등 기기정보를 변경해 공격할 수 있기 때문이다. 소액 결제로 게임 아이템을 사고 팔며 해커가 현금화를 시도할 수도 있다.
심 스와핑으로 얻은 모바일 정보를 기반으로 사용자의 직장 로그인 정보 등을 추정해 기업 네트워크로 공격을 확장할 수도 있다. 2022년 마이크로소프트와 엔비디아 등을 해킹한 랩서스도 심 스와핑을 주요 공략 수단으로 사용했다.
심 스와핑은 전용 장비가 필요하긴 하나, 일반 통신사 대리점도에 널리 설치돼있는 흔한 장비다.
내 정보 보호하려면?
SKT는 해킹 사실 인지 후 불법 유심 기변 및 비정상 인증 시도 차단 활동을 강화하고 있다. 또 피해 의심 징후를 발견하면 즉각 이용 정지 및 안내 조치를 하고 있다.
사용자는 SK텔레콤 홈페이지와 T월드에서 유심 보호 서비스를 무료 이용할 수 있다. 이를 이용하면 다른 기기에 유심을 꽂으면 기기가 작동하지 않게 할 수 있다. 또 갑자기 통화가 안 되는 등 휴대폰이 동작하지 않아 유심 복제가 의심될 경우 신속하게 금융사나 통신사에 신고해야 한다.
이와 함께 금융 서비스에서 기기정보 변경이 일어날 경우 추가 인증을 요구하거나 모니터링을 강화하는 등 서비스 제공자측 대비도 필요하다는 지적이 나온다.
하지만 스마트폰이 아니라 태블릿PC나 자동차 등에 네트워크 연결 기능을 제공하기 위해 삽입된 유심은 이런 방식으로 문제를 해결하기 어렵다. 이런 기기는 교체가 불가능한 구조인 경우도 많다.
[한세희·조재호 기자(boan@boannews.com)]
SK텔레콤은 19일 밤 악성코드로 사내 시스템에서 고객 유심 정보가 유출된 정황을 발견해 20일 한국인터넷진흥원(KISA)에 신고했다. 22일엔 개인정보보호위원회에도 신고했다.
문제가 된 시스템은 가입자 전화번호와 고유식별번호 등 유심 정보와 음성 서비스 제공에 필요한 정보 등을 통합 관리하는 ‘홈가입자서버’(HSS)이다. 가입자 정보를 관리하는 중앙집중화된 데이터베이스로, 사용자 등록 및 변경 관리, 인증, 권한 부여, 과금 등 광범위한 가입자 정보를 관리한다.
SK텔레콤은 유출 가능성을 인지한 후 문제의 악성 코드를 즉시 삭제하고, 해킹 의심 장비도 격리 조치했다. 이 정보가 악용된 사례는 아직 나타나지 않았다고 회사측은 밝혔다.
현재 정확한 유출 원인과 규모, 항목 등을 파악 중이다. 과학기술정보통신부는 비상대책반을 가동했고, KISA 전문가가 파견돼 현장 조사를 지원하고 있다.
하지만, 유심 정보 유출 후폭풍에서 자유롭지 못한 상황이다. 전형적인 2차 피해는 공격자가 타인의 IMSI 정보를 이용, 마치 자신의 바로 그 타인인 것처럼 네트워크에 접속하는 이른바 스푸핑(Spoofing) 공격이다. 이를 통해 전화 내용이나 문자 정보, 위치 추적, 과금 피해 등이 가능하다.
IMSI(International Mobile Subscriber Identity)는 심 카드에 저장된 사용자 고유식별 번호다. 네트워크 접속시 사용된다. IMSI는 15자로 구성된다. 구조는 MCC + MNC + 전화번호다. 대한민국 MCC(Mobile Country Code)는 450이다. SKT의 MNC(Mobile Network Code)는 05다. 예컨대, 전화번호가 12345678이면 SKT 가입자 IMSI는 4500512345678인 식이다.
홍동철 엠시큐어 대표는 “피해가 의심되면 바로 통신사에 신고 또는 문의해야 한다”며 “특히, 스파이 감시 방지와 같은 보안 프로그램 등을 통해 추가 정보유출을 막아야 한다”고 강조했다.
고도의 핀셋 공격? 내부 소행?
공격 방식이나 침투 경로를 확인하긴 이른 단계이다. 국내에서 가장 보안이 강하다고 평가되는 SKT 핵심 서버를 공략한 것으로 보아 높은 수준의 해커들이 장기 진행한 작업 결과라는 추측이 나온다. 주변 서버나 시스템에 대한 접근 권한을 얻어 조금씩 권한을 높여가며 상위 시스템으로 올라갔다는 것이다.
내부 직원의 실수나 고의일 가능성 역시 배제하기 어렵다. 이 정도 내부 중요 시스템이라면 망분리 등을 통해 외부에서 접근하는 것 자체를 불가능하게 만들어 놓았을 것이라는 추측이다.
반면, 과거 다른 경로로 내부에 심겨져 잠복해 있던 악성코드가 발동된 것이라는 분석도 나온다. 해커들이 뿌려 둔 다양한 공격 중 일부가 작동한 우연적 상황일 수 있다는 것이다. 이런 추정 역시 강한 보안 조치가 된 HSS를 뚫기 쉽지 않다는 점에 근거를 두고 있다.
익명을 원한 정보보호 분야 전문가는 “해커 그룹의 조직적 캠페인이 아닌 이상 이런 공격은 우연히 걸리는 경우가 대다수”라고 말했다.
어느 경우이건 어떤 경로로, 얼마나 많은 공격이 이뤄지고 있는지 파악하기 어렵다는 불확실성이 문제다. 전상훈 웨비즘 대표는 “내부망에 대한 공격 방식과 공격 범위를 아직 파악하지 못한 상태여서 위험성이 더 높은 상태라 할 수 있다”며 “랜섬웨어 공격자들은 다양한 방식으로 내부를 침입하고, 오랜 기간에 걸쳐 침입 경로를 만드는 것이 일반적이기 때문에, 앞으로 피해 범위가 더 광범위하게 드러날 수 있다”고 말했다.
피해를 최소화하기 위해 현재 SKT가 진행 중인 전체 시스템 전수 조사에 속도를 내야 할 상황이라는 평가다.
심(SIM) 스와핑 후, 게임 아이템 가로챌 수도
이번 데이터 유출로 인한 2차 피해 가능성도 우려된다. 유심은 통신망에서 가입자를 식별하는 식별 정보를 담고 있다. 그 자체로 개인정보라 하긴 어렵다. 하지만 통신사는 유심 정보와 연결되는 사용자 전화번호와 이름 등 개인정보를 갖고 있다. 만에 하나 다른 시스템도 공격당했다면 파급이 클 수 있다.
유심 정보를 다른 유심에 복제하는 심 스와핑 공격의 현실화가 가장 우려되는 문제다. 대포폰이나 대포 차량 구매에 악용될 수 있다. SMS를 통한 휴대폰 본인인증이 무력화돼 금융 앱 등을 통해 다른 사람의 돈을 가로챌 수도 있다. 기기정보를 수집하는 모바일 앱의 경우, 심 스와핑 공격으로 단말기식별번호(IMEI) 등 기기정보를 변경해 공격할 수 있기 때문이다. 소액 결제로 게임 아이템을 사고 팔며 해커가 현금화를 시도할 수도 있다.
심 스와핑으로 얻은 모바일 정보를 기반으로 사용자의 직장 로그인 정보 등을 추정해 기업 네트워크로 공격을 확장할 수도 있다. 2022년 마이크로소프트와 엔비디아 등을 해킹한 랩서스도 심 스와핑을 주요 공략 수단으로 사용했다.
심 스와핑은 전용 장비가 필요하긴 하나, 일반 통신사 대리점도에 널리 설치돼있는 흔한 장비다.
내 정보 보호하려면?
SKT는 해킹 사실 인지 후 불법 유심 기변 및 비정상 인증 시도 차단 활동을 강화하고 있다. 또 피해 의심 징후를 발견하면 즉각 이용 정지 및 안내 조치를 하고 있다.
사용자는 SK텔레콤 홈페이지와 T월드에서 유심 보호 서비스를 무료 이용할 수 있다. 이를 이용하면 다른 기기에 유심을 꽂으면 기기가 작동하지 않게 할 수 있다. 또 갑자기 통화가 안 되는 등 휴대폰이 동작하지 않아 유심 복제가 의심될 경우 신속하게 금융사나 통신사에 신고해야 한다.
이와 함께 금융 서비스에서 기기정보 변경이 일어날 경우 추가 인증을 요구하거나 모니터링을 강화하는 등 서비스 제공자측 대비도 필요하다는 지적이 나온다.
하지만 스마트폰이 아니라 태블릿PC나 자동차 등에 네트워크 연결 기능을 제공하기 위해 삽입된 유심은 이런 방식으로 문제를 해결하기 어렵다. 이런 기기는 교체가 불가능한 구조인 경우도 많다.
[한세희·조재호 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
