감염서버 총 28대서 악성코드 33종 확인 및 조치
9.82GB 달하는 유심정보 25종 유출, IMSI 기준 2696만건
[보안뉴스 조재호 기자] SK텔레콤에 대한 침해 공격은 이미 2021년 시작된 것으로 나타났다. 단말기 고유식별번호(IMEI)를 비롯해 유심정보 25종이 유출됐다.
4년 가까이 해킹을 인지하지 못했고, 기본적 악성코드 탐지에도 실패하는 등 보안 관리에 총체적 부실이 있었다는 평가다.
▲SKT 해킹 사태에서 공격자의 침투 경로 [자료:과기정통부]
SKT 침해사고 민관합동조사단이 4일 발표한 최종 조사 결과에 따르면, SKT 서버에 악성코드가 최초 설치된 시점은 2021년 8월 6일로 추정된다. SKT가 가입자인증서버(HSS)에서 악성코드를 탐지한 건 올해 4월 19일이었다. 4년 가까이 잠복해 있었지만 감염 정황을 눈치채지 못했다.
SK텔레콤 전체 서버 4만2605대에 대한 조사 결과, 총 28대의 33종의 악성코드가 확인됐다. BPF도어가 27종이었고, 타이니쉘 3종, 웹쉘 1종, 오픈소스 악성코드 2종(CrossC2·슬리버)이 발견됐다.
BPF도어 외에 웹셀이 발견됐다는 점이 눈에 띈다. 타이니쉘과 웹셀은 기본적 취약점 점검 항목이다. 주요 정보통신기반시설에서도 업로드 취약점은 필수 항목으로 분류되는 부분이며, 탐지나 조치가 어렵지 않은 것으로 알려졌다. 하지만 점검 미비로 4종이나 설치된 부분과 2022년 6월부터 약 3년 간 지속 유지된 부분은 비판을 피하기 힘들어 보인다.
공격자 침투 경로도 조사 과정에서 확인됐다. 침투는 외부 인터넷 연결된 시스템 관리망 내 한 서버(서버 A)에서 시작됐다. 2021년 8월 6일경 원격제어 및 백도어 기능이 포함된 악성코드 ‘CrossC2’에 감염된 것이다.
당시 서버 A에는 시스템 관리망 내 서버들의 계정 정보(ID·비밀번호) 등이 평문으로 저장돼 있었다. 공격자는 이 정보를 활용해 시스템 관리망 내 서버 B에 접근한 것으로 추정된다. 이 서버에는 코어망 내 음성통화인증(HSS) 관리서버 정보가 있었다. 이를 활용해 HSS 관리서버와 HSS에 BPF도어를 설치했다.
초기 침투 이후 공격자는 2022년 6월경 고객 관리망 서버에 접근해 웹쉘과 BPF도어를 퍼뜨리고 추가 거점을 확보한 것으로 확인됐다. 공격자는 평문으로 저장된 계정 정보를 활용해 관리망 내 서버를 장악해 나갔다. 이 과정에서 SKT는 관리망 내 서버 계정 정보를 장기간 바꾸지 않는 등 보안 관리를 소홀히 해 피해를 키웠다. 이후 공격자는 4월 18일 HSS 3개 서버에 저장된 유심정보 9.82GB를 유출했다.
조사단은 SKT 정보보호 체계의 문제점으로 △계정 정보 관리 부실 △침해사고 대응 미흡 △주요 정보 암호화 조치 미흡 등을 지적했다.
재발 방지를 위해 △서버 계정 정보의 기록 및 저장 제한 △부득이한 경우 암호화 등 보호 대책 마련 △침해사고 신고 의무 준수 △주요 유심 정보 암호화 등의 대책을 권고했다.
문광석 한국정보공학기술사회 미래융합기술원장은 “이번 사고가 한두 개 웹서버 수준이 아닌 28대 규모인 점을 감안하면 전반적 경계보안의 실패로 서버 간 전파가 발생하는 횡적 이동(Lateral movement)에 대한 탐지가 취약했던 것으로 보인다”며 “제로트러스트와 같은 경계 최소화를 통한 침해 범위 제한을 비롯해 XDR, SIEM 등 통합 보안 관제 범위를 확대한 재발 방지 대책이 필요하다”고 말했다.
[조재호 기자(sw@boannews.com)]
9.82GB 달하는 유심정보 25종 유출, IMSI 기준 2696만건
[보안뉴스 조재호 기자] SK텔레콤에 대한 침해 공격은 이미 2021년 시작된 것으로 나타났다. 단말기 고유식별번호(IMEI)를 비롯해 유심정보 25종이 유출됐다.
4년 가까이 해킹을 인지하지 못했고, 기본적 악성코드 탐지에도 실패하는 등 보안 관리에 총체적 부실이 있었다는 평가다.
▲SKT 해킹 사태에서 공격자의 침투 경로 [자료:과기정통부]
SKT 침해사고 민관합동조사단이 4일 발표한 최종 조사 결과에 따르면, SKT 서버에 악성코드가 최초 설치된 시점은 2021년 8월 6일로 추정된다. SKT가 가입자인증서버(HSS)에서 악성코드를 탐지한 건 올해 4월 19일이었다. 4년 가까이 잠복해 있었지만 감염 정황을 눈치채지 못했다.
SK텔레콤 전체 서버 4만2605대에 대한 조사 결과, 총 28대의 33종의 악성코드가 확인됐다. BPF도어가 27종이었고, 타이니쉘 3종, 웹쉘 1종, 오픈소스 악성코드 2종(CrossC2·슬리버)이 발견됐다.
BPF도어 외에 웹셀이 발견됐다는 점이 눈에 띈다. 타이니쉘과 웹셀은 기본적 취약점 점검 항목이다. 주요 정보통신기반시설에서도 업로드 취약점은 필수 항목으로 분류되는 부분이며, 탐지나 조치가 어렵지 않은 것으로 알려졌다. 하지만 점검 미비로 4종이나 설치된 부분과 2022년 6월부터 약 3년 간 지속 유지된 부분은 비판을 피하기 힘들어 보인다.
공격자 침투 경로도 조사 과정에서 확인됐다. 침투는 외부 인터넷 연결된 시스템 관리망 내 한 서버(서버 A)에서 시작됐다. 2021년 8월 6일경 원격제어 및 백도어 기능이 포함된 악성코드 ‘CrossC2’에 감염된 것이다.
당시 서버 A에는 시스템 관리망 내 서버들의 계정 정보(ID·비밀번호) 등이 평문으로 저장돼 있었다. 공격자는 이 정보를 활용해 시스템 관리망 내 서버 B에 접근한 것으로 추정된다. 이 서버에는 코어망 내 음성통화인증(HSS) 관리서버 정보가 있었다. 이를 활용해 HSS 관리서버와 HSS에 BPF도어를 설치했다.
초기 침투 이후 공격자는 2022년 6월경 고객 관리망 서버에 접근해 웹쉘과 BPF도어를 퍼뜨리고 추가 거점을 확보한 것으로 확인됐다. 공격자는 평문으로 저장된 계정 정보를 활용해 관리망 내 서버를 장악해 나갔다. 이 과정에서 SKT는 관리망 내 서버 계정 정보를 장기간 바꾸지 않는 등 보안 관리를 소홀히 해 피해를 키웠다. 이후 공격자는 4월 18일 HSS 3개 서버에 저장된 유심정보 9.82GB를 유출했다.
조사단은 SKT 정보보호 체계의 문제점으로 △계정 정보 관리 부실 △침해사고 대응 미흡 △주요 정보 암호화 조치 미흡 등을 지적했다.
재발 방지를 위해 △서버 계정 정보의 기록 및 저장 제한 △부득이한 경우 암호화 등 보호 대책 마련 △침해사고 신고 의무 준수 △주요 유심 정보 암호화 등의 대책을 권고했다.
문광석 한국정보공학기술사회 미래융합기술원장은 “이번 사고가 한두 개 웹서버 수준이 아닌 28대 규모인 점을 감안하면 전반적 경계보안의 실패로 서버 간 전파가 발생하는 횡적 이동(Lateral movement)에 대한 탐지가 취약했던 것으로 보인다”며 “제로트러스트와 같은 경계 최소화를 통한 침해 범위 제한을 비롯해 XDR, SIEM 등 통합 보안 관제 범위를 확대한 재발 방지 대책이 필요하다”고 말했다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
