초기 침투는 2021년 8월...악성코드 ‘CrossC2’ 설치
통화기록 유출됐다 해도 인지나 피해 파악은 어려워
“이미 해지한 가입자도 위약금 면제 소급 적용해야”
[보안뉴스 강현주 기자] SK텔레콤 유심 해킹을 위한 초기 침투는 약 4년 전인 2021년 8월인 것으로 나타났으며 통화 기록 유출 가능성이 존재하지만 현재로써는 뾰족한 대책이 없는 것으로 드러났다.
과학기술정보통신부(장관 유상임)는 SK텔레콤 침해사고 민관합동조사단의 조사 결과 및 SKT의 이용약관 상 위약금 면제 규정에 대한 검토결과를 4일 발표했다.
▲류제명 과기정통부 제2차관이 SK텔레콤 침해사고 민관합동조사단의 조사결과를 발표하고 있다. [자료: 과기정통부]
조사 결과 초기 침투는 2021년 8월에 일어났다. 공격자는 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버A에 접속 후 타 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드 ‘CrossC2’를 2021년 8월 6일에 설치했다. 이후 시스템 관리망을 통해 고객 관리망 내 서버에 접속한 것으로 추정되며, 서버 접속 후 2022년 6월 15일 악성코드 ‘웹쉘’과 6월 22일 ‘BPFDoor’를 설치했다.
특히 통신기록(CDR)이 임시 저장된 서버도 발견됐다. 기록이 남아있는 5개월이 채 안되는 기간 동안에는 자료 유출 정황이 없는 것으로 확인됐다. 하지만 로그 기록이 없는 나머지 기간의 유출 여부를 확인할 수 없다. 통화 기록이 유출됐을 가능성이 여전히 있다는 얘기다. 하지만 현재로써는 이에 대해 어떤 위험 가능성이 있는지 등을 파악하기 어렵다는 게 과기정통부 측의 설명이다.
조사단에 따르면, 감염서버 중 단말기식별번호(IMEI), 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 평문으로 임시 저장된 서버 2대와 통신기록이 암호화하지 않은 평문으로 임시 저장된 서버 1대를 발견했다. 정밀 분석 결과 방화벽 로그기록이 남아있는 기간(IMEI: 2024.12.3~2025.4.24, CDR: 2024.12.9~2025.4.20)에는 자료 유출 정황이 없다.
조사단은 국내 1위 통신사의 침해사고와 국민 우려 증가, 악성코드의 은닉성 등을 고려해 SKT 전체 서버 4만2605대를 점검했다. 그 결과 감염서버 총 28대와 악성코드 총 33종을 확인 및 조치했다. 침해로 인해 유심 정보 25종이 유출(9.82GB, IMSI 기준 2696만건)됐다.
조사단은 SKT의 계정정보 관리 부실, 과거 침해사고 대응 미흡, 주요 정보 암호화 조치 미흡 등을 원인으로 파악했다. 재발 방지 대책으로는 계정 비밀번호 관리 강화, 주요 정보 암호화, 정보보호 거버넌스 강화(CEO 직속), 정보보호 인력·예산 확대 등을 제시했다.
이와 함께 SKT가 2022년 침해 사실을 인지하고도 신고 하지 않은 점은 한 과태료 부과 대상이라고 언급했다. 정부의 자료 보전 명령에도 불구하고, 서버 2대를 포렌식 불가능한 상태로 임의제출한 것도 정보통신망법 위반이라는 판단이다.
위약금 면제에 대해서는 SKT 과실이 발견된 점, SKT가 계약상 주된 의무를 다하지 못한 점 등 고려 시 위약금 면제 규정 적용이 가능하다고 판단했다. 다음은 과기정통부 브리핑 일문일답.
Q. 악성코드가 추가로 발견됐는데 이용자 피해로 이어질 수 있는 것 아닌가
유심 복제로 인한 피한 피해는 발견하지 못했다. 유심 보호서비스와 부정사용 방지 시스템 고도화를 통해 피해 우려는 차단하고 있다는 판단이다. 추가 조사에서도 추가 피해 가능성은 발견 못했다.
Q. 위약금 면제가 가능하다는 범위가 이미 해지한 가입자들에게도 소급 적용되는지
4월 18일 유출된 2695만건에 해당하는 그 시점에서의 고객들은 모두 다 해당된다고 판단한다. 침해 사고로 인해 번호 이동을 한 가입자들에게도 당연히 위약금 환불 조치가 이뤄져야 한다고 판단된다. SKT에서 구체적 범위를 정해 제시할 것으로 기대한다.
Q. 과태료 관련해서는 신고 의무 위반 등에 대한 것만 검토했다면 부실해 보인다
법적 위반이 명확할 때만 과태료나 수사 의뢰 등 조치를 할 수 있으며, 관리를 하면서 문제가 되는 부분은 재발 방치 대책이라는 형태로 저희가 문제제기를 할 수밖에 없다. 이에 대해 적절한 조치가 없다면 시정명령 등의 조치가 따를 것이다.
Q. 조사단에 투입된 인력 규모나 과정 등을 설명해 달라
과거의 조사단은 통상적으로 20명 이하로 10명 정도였다. 그러나 이번 민관합동조사단은 24명 규모며, 4만여대의 서버를 직접 점검하는 과정에서 KISA 인력이 70여명이 투입됐다. 상당히 많은 인력이 투입된 강도 높은 조사였다.
Q. CDR 탈취 여부는 모르는 건가? 그럼 이용자는 탈취 사실도 알 수 없고 신고도 할 수 없는 건가
CDR은 누가 누구와 언제 통화했는지에 대한 기록인데, 이게 범죄에 연결됐거나 피해를 일으켰는지 지금은 명확하게 시나리오를 만들기는 어려운 상황이다. 직접적 피해와 연관되지 않기 때문에 개인 사생활에 영향이 있을 수 있지만 개인이 직접 인지하고 신고하는 것은 현실적으로 어렵다는 걸 저희도 인지하고 있다. 이는 다른 기술적 분석가나 전문가들도 동일한 판단을 내릴 것 같다.
[강현주 기자(jjoo@boannews.com)]
통화기록 유출됐다 해도 인지나 피해 파악은 어려워
“이미 해지한 가입자도 위약금 면제 소급 적용해야”
[보안뉴스 강현주 기자] SK텔레콤 유심 해킹을 위한 초기 침투는 약 4년 전인 2021년 8월인 것으로 나타났으며 통화 기록 유출 가능성이 존재하지만 현재로써는 뾰족한 대책이 없는 것으로 드러났다.
과학기술정보통신부(장관 유상임)는 SK텔레콤 침해사고 민관합동조사단의 조사 결과 및 SKT의 이용약관 상 위약금 면제 규정에 대한 검토결과를 4일 발표했다.
▲류제명 과기정통부 제2차관이 SK텔레콤 침해사고 민관합동조사단의 조사결과를 발표하고 있다. [자료: 과기정통부]
조사 결과 초기 침투는 2021년 8월에 일어났다. 공격자는 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버A에 접속 후 타 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드 ‘CrossC2’를 2021년 8월 6일에 설치했다. 이후 시스템 관리망을 통해 고객 관리망 내 서버에 접속한 것으로 추정되며, 서버 접속 후 2022년 6월 15일 악성코드 ‘웹쉘’과 6월 22일 ‘BPFDoor’를 설치했다.
특히 통신기록(CDR)이 임시 저장된 서버도 발견됐다. 기록이 남아있는 5개월이 채 안되는 기간 동안에는 자료 유출 정황이 없는 것으로 확인됐다. 하지만 로그 기록이 없는 나머지 기간의 유출 여부를 확인할 수 없다. 통화 기록이 유출됐을 가능성이 여전히 있다는 얘기다. 하지만 현재로써는 이에 대해 어떤 위험 가능성이 있는지 등을 파악하기 어렵다는 게 과기정통부 측의 설명이다.
조사단에 따르면, 감염서버 중 단말기식별번호(IMEI), 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 평문으로 임시 저장된 서버 2대와 통신기록이 암호화하지 않은 평문으로 임시 저장된 서버 1대를 발견했다. 정밀 분석 결과 방화벽 로그기록이 남아있는 기간(IMEI: 2024.12.3~2025.4.24, CDR: 2024.12.9~2025.4.20)에는 자료 유출 정황이 없다.
조사단은 국내 1위 통신사의 침해사고와 국민 우려 증가, 악성코드의 은닉성 등을 고려해 SKT 전체 서버 4만2605대를 점검했다. 그 결과 감염서버 총 28대와 악성코드 총 33종을 확인 및 조치했다. 침해로 인해 유심 정보 25종이 유출(9.82GB, IMSI 기준 2696만건)됐다.
조사단은 SKT의 계정정보 관리 부실, 과거 침해사고 대응 미흡, 주요 정보 암호화 조치 미흡 등을 원인으로 파악했다. 재발 방지 대책으로는 계정 비밀번호 관리 강화, 주요 정보 암호화, 정보보호 거버넌스 강화(CEO 직속), 정보보호 인력·예산 확대 등을 제시했다.
이와 함께 SKT가 2022년 침해 사실을 인지하고도 신고 하지 않은 점은 한 과태료 부과 대상이라고 언급했다. 정부의 자료 보전 명령에도 불구하고, 서버 2대를 포렌식 불가능한 상태로 임의제출한 것도 정보통신망법 위반이라는 판단이다.
위약금 면제에 대해서는 SKT 과실이 발견된 점, SKT가 계약상 주된 의무를 다하지 못한 점 등 고려 시 위약금 면제 규정 적용이 가능하다고 판단했다. 다음은 과기정통부 브리핑 일문일답.
Q. 악성코드가 추가로 발견됐는데 이용자 피해로 이어질 수 있는 것 아닌가
유심 복제로 인한 피한 피해는 발견하지 못했다. 유심 보호서비스와 부정사용 방지 시스템 고도화를 통해 피해 우려는 차단하고 있다는 판단이다. 추가 조사에서도 추가 피해 가능성은 발견 못했다.
Q. 위약금 면제가 가능하다는 범위가 이미 해지한 가입자들에게도 소급 적용되는지
4월 18일 유출된 2695만건에 해당하는 그 시점에서의 고객들은 모두 다 해당된다고 판단한다. 침해 사고로 인해 번호 이동을 한 가입자들에게도 당연히 위약금 환불 조치가 이뤄져야 한다고 판단된다. SKT에서 구체적 범위를 정해 제시할 것으로 기대한다.
Q. 과태료 관련해서는 신고 의무 위반 등에 대한 것만 검토했다면 부실해 보인다
법적 위반이 명확할 때만 과태료나 수사 의뢰 등 조치를 할 수 있으며, 관리를 하면서 문제가 되는 부분은 재발 방치 대책이라는 형태로 저희가 문제제기를 할 수밖에 없다. 이에 대해 적절한 조치가 없다면 시정명령 등의 조치가 따를 것이다.
Q. 조사단에 투입된 인력 규모나 과정 등을 설명해 달라
과거의 조사단은 통상적으로 20명 이하로 10명 정도였다. 그러나 이번 민관합동조사단은 24명 규모며, 4만여대의 서버를 직접 점검하는 과정에서 KISA 인력이 70여명이 투입됐다. 상당히 많은 인력이 투입된 강도 높은 조사였다.
Q. CDR 탈취 여부는 모르는 건가? 그럼 이용자는 탈취 사실도 알 수 없고 신고도 할 수 없는 건가
CDR은 누가 누구와 언제 통화했는지에 대한 기록인데, 이게 범죄에 연결됐거나 피해를 일으켰는지 지금은 명확하게 시나리오를 만들기는 어려운 상황이다. 직접적 피해와 연관되지 않기 때문에 개인 사생활에 영향이 있을 수 있지만 개인이 직접 인지하고 신고하는 것은 현실적으로 어렵다는 걸 저희도 인지하고 있다. 이는 다른 기술적 분석가나 전문가들도 동일한 판단을 내릴 것 같다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
