[보안뉴스 한세희 기자] SK텔레콤 유심 정보 해킹이 기업 내부 망 접근에 쓰이는 가상사설망(VPN) 솔루션 취약점을 악용해 발생했을 가능성에 관심이 쏠린다.
이번 공격으로 국제모바일가입자식별자(IMIS)와 인증키 등 유심 사용자 인증정보를 담은 홈가입자서버(HSS) 등 SKT 내 3종의 서버 5대가 영향을 받은 것으로 추정된다. 이들은 가입자 관리를 위한 핵심 정보를 담은 서버로 모두 외부와 분리된 내부 망에 있다.
정보보호 업계 전문가는 “내부 망이 불가피하게 외부와 통신해야 할 경우 통상 VPN을 활용하기 때문에, 업계에선 VPN 관련 취약점이 공격 통로로 쓰였을 것이란 점을 많이 거론하고 있다”고 말했다.
[자료: 게티이미지뱅크]
최근 글로벌 VPN 솔루션에 대한 취약점과 악용 사례에 대한 경고도 잇달아 나오고 있다.
대만 사이버보안 기업 팀T5는 최근 중국과 연계된 지능형 지속 공격(APT) 그룹이 미국 보안 기업 이반티의 ‘커넥트 시큐어 VPN’ 솔루션 취약점을 악용한 공격을 세계적으로 벌여 온 사실을 포착했다고 밝혔다.
한국을 포함해 미국, 영국, 일본, 호주 등 12개 선진국의 통신, 자동차, 화학 등 20여 산업 분야가 피해를 입었다. 이 보고서가 공개된 날은 14일로, SKT 해킹 사실이 알려지기 몇일 전이다.
공격자는 이반티 VPN에 있는 2종의 스택 버퍼 오버플로우 취약점 ‘CVE-2025-0282’과 ‘CVE-2025-22457’을 이용해 시스템에 최초 접근한 것으로 팀T5는 분석했다. 이 취약점을 이용하면 스택 버퍼 오버플로우를 악용해 원격 코드를 실행할 수 있는데, 공통취약점등급시스템(CVSS)에서 위험도가 10점 만점에 9점으로 평가된다.
스택 버퍼 오버플로우는 프로그램이 할당된 버퍼 영역을 넘어 더 많은 데이터를 쓸 때 발생하는 에러로, 이를 이용해 해커가 악성 코드를 실행할 수 있다.
공격자는 중국 해커그룹들이 사용하는 ‘스폰키메라’(SPAWNCHIMERA) 도구를 활용했다. 악성코드 설치와 통신, 백도어, 활동 로그 삭제 등의 기능을 고루 갖춰 피해 기관이 탐지하기 쉽지 않다는 평가다.
팀T5 관계자는 <보안뉴스>의 질의에 “이반티 취약점을 악용한 한국 통신 기업에 대한 공격을 감지한 것은 사실이지만, 피해 기업 정보를 밝힐 수는 없다”며 “수사 당국의 요청이 있다면 기꺼이 협조하겠다”고 밝혔다.
이외에도 최근 1년 사이 이반티 VPN 취약점에 대한 보고가 이어지고 있는 상황이다.
업계에선 SKT가 이반티 제품이나 이반티를 기반으로 맞춤 제공되는 서드파티 솔루션을 썼다는 말도 나돈다.
▲유영상 SK텔레콤 대표이사가 30일 국회 과학기술정보방송통신위원회의에서 열린 방송통신 분야 청문회에서 유심 해킹 사태에 대한 위원들의 질타를 받고 있다. [자료: 연합]
류정환 SKT 부사장은 30일 국회 과학기술정보통신방송위원회 청문회에서 의원 질의에 답하며 “폐쇄된 분리망이 공격을 당한 상황이라 그 부분을 조사하고 문제점을 찾으려 한다“고 말했다.
팀T5가 VPN 관련 보고서를 발간한 14일, 사이버 보안 기업 트렌드마이크로도 ‘BPF도어’ 백도어 공격이 한국과 홍콩, 말레이시아 등의 통신과 금융, 유통 분야 기업들을 대상으로 이뤄진 사실을 포착해 발표했다.
트렌드마이크로는 “BPF도어 공격들을 조사하는 과정에서 그간 알려지지 않은 BPF도어 콘트롤러를 발견했다”며 중국 APT 그룹 ‘레드 멘션’을 배후로 지목했다. 이 콘트롤러는 피해자 시스템 깊숙이 침투, 탐지를 피해 머물면서 공격자가 시스템을 장악하고 민감한 데이터를 가져갈 수 있게 한다고 보고서는 설명했다.
이후 SKT 사건 민관합동조사단은 공격에 BPF도어가 쓰였다고 발표했다. 한국인터넷진흥원(KISA)도 관련 악성코드 공지를 띄우며 주의를 당부했다.
[한세희 기자(boan@boannews.com)]
이번 공격으로 국제모바일가입자식별자(IMIS)와 인증키 등 유심 사용자 인증정보를 담은 홈가입자서버(HSS) 등 SKT 내 3종의 서버 5대가 영향을 받은 것으로 추정된다. 이들은 가입자 관리를 위한 핵심 정보를 담은 서버로 모두 외부와 분리된 내부 망에 있다.
정보보호 업계 전문가는 “내부 망이 불가피하게 외부와 통신해야 할 경우 통상 VPN을 활용하기 때문에, 업계에선 VPN 관련 취약점이 공격 통로로 쓰였을 것이란 점을 많이 거론하고 있다”고 말했다.
[자료: 게티이미지뱅크]
최근 글로벌 VPN 솔루션에 대한 취약점과 악용 사례에 대한 경고도 잇달아 나오고 있다.
대만 사이버보안 기업 팀T5는 최근 중국과 연계된 지능형 지속 공격(APT) 그룹이 미국 보안 기업 이반티의 ‘커넥트 시큐어 VPN’ 솔루션 취약점을 악용한 공격을 세계적으로 벌여 온 사실을 포착했다고 밝혔다.
한국을 포함해 미국, 영국, 일본, 호주 등 12개 선진국의 통신, 자동차, 화학 등 20여 산업 분야가 피해를 입었다. 이 보고서가 공개된 날은 14일로, SKT 해킹 사실이 알려지기 몇일 전이다.
공격자는 이반티 VPN에 있는 2종의 스택 버퍼 오버플로우 취약점 ‘CVE-2025-0282’과 ‘CVE-2025-22457’을 이용해 시스템에 최초 접근한 것으로 팀T5는 분석했다. 이 취약점을 이용하면 스택 버퍼 오버플로우를 악용해 원격 코드를 실행할 수 있는데, 공통취약점등급시스템(CVSS)에서 위험도가 10점 만점에 9점으로 평가된다.
스택 버퍼 오버플로우는 프로그램이 할당된 버퍼 영역을 넘어 더 많은 데이터를 쓸 때 발생하는 에러로, 이를 이용해 해커가 악성 코드를 실행할 수 있다.
공격자는 중국 해커그룹들이 사용하는 ‘스폰키메라’(SPAWNCHIMERA) 도구를 활용했다. 악성코드 설치와 통신, 백도어, 활동 로그 삭제 등의 기능을 고루 갖춰 피해 기관이 탐지하기 쉽지 않다는 평가다.
팀T5 관계자는 <보안뉴스>의 질의에 “이반티 취약점을 악용한 한국 통신 기업에 대한 공격을 감지한 것은 사실이지만, 피해 기업 정보를 밝힐 수는 없다”며 “수사 당국의 요청이 있다면 기꺼이 협조하겠다”고 밝혔다.
이외에도 최근 1년 사이 이반티 VPN 취약점에 대한 보고가 이어지고 있는 상황이다.
업계에선 SKT가 이반티 제품이나 이반티를 기반으로 맞춤 제공되는 서드파티 솔루션을 썼다는 말도 나돈다.
▲유영상 SK텔레콤 대표이사가 30일 국회 과학기술정보방송통신위원회의에서 열린 방송통신 분야 청문회에서 유심 해킹 사태에 대한 위원들의 질타를 받고 있다. [자료: 연합]
류정환 SKT 부사장은 30일 국회 과학기술정보통신방송위원회 청문회에서 의원 질의에 답하며 “폐쇄된 분리망이 공격을 당한 상황이라 그 부분을 조사하고 문제점을 찾으려 한다“고 말했다.
팀T5가 VPN 관련 보고서를 발간한 14일, 사이버 보안 기업 트렌드마이크로도 ‘BPF도어’ 백도어 공격이 한국과 홍콩, 말레이시아 등의 통신과 금융, 유통 분야 기업들을 대상으로 이뤄진 사실을 포착해 발표했다.
트렌드마이크로는 “BPF도어 공격들을 조사하는 과정에서 그간 알려지지 않은 BPF도어 콘트롤러를 발견했다”며 중국 APT 그룹 ‘레드 멘션’을 배후로 지목했다. 이 콘트롤러는 피해자 시스템 깊숙이 침투, 탐지를 피해 머물면서 공격자가 시스템을 장악하고 민감한 데이터를 가져갈 수 있게 한다고 보고서는 설명했다.
이후 SKT 사건 민관합동조사단은 공격에 BPF도어가 쓰였다고 발표했다. 한국인터넷진흥원(KISA)도 관련 악성코드 공지를 띄우며 주의를 당부했다.
[한세희 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
