.jpg)
.gif)
3줄 요약
1. 보안 경보 발령 취약점 있는 OS 8년 반 사용
2. 공개된 패치나 상용 백신 등 보안 조치 하지 않아
3. 개인정보위원장 “구글·메타와 카테고리 달라”
[보안뉴스 강현주 기자] 유심 해킹 사고를 당한 SK텔레콤이 취약점으로 보안 경보가 발령된 운영체제를 8년 넘게 그대로 사용한 것으로 나타났다. 공개된 패치와 상용 백신이 있었음에도 보안조치 없이 2016년 11월부터 2025년 4월까지 운영한 것이다.
28일 개인정보보호위원회는 SKT에 과징금 1347억9100만원과 과태료 960만원을 부과했다고 밝혔다.
개인정보위와 한국인터넷진흥원(KISA)의 공동 조사 결과, SKT는 2016년 10월 취약점으로 보안 경보가 발령된 운영체제(OS)를 2025년 4월까지 어떤 보안 조치도 없이 계속 사용해온 것으로 나타났다.
▲SKT에 역대 최고액의 과징금이 부과됐다. [자료: 연합]
패치도 백신도 있었는데...조치 無
이번 사고에서 해커가 악성프로그램(BPFDoor) 설치에 활용한 OS 보안 취약점 ‘더티카우’(DirtyCow)는 2016년 10월 이미 보안 경보가 발령되고 보안 패치가 공개된 바 있다. SKT는 이를 인지하고 있었음에도 2016년 11월 홈가입자서버(HSS)에 이 취약점을 가진 OS를 설치했다. 또 2025년 4월 유출 당시까지도 보안 업데이트를 실시하지 않았다.
최소 2020년부터 이 취약점을 탐지할 수 있는 각종 상용 백신 프로그램들이 나왔음에도, SKT는 올해 4월까지 백신을 설치하지 않았다. 뿐만 아니라 백신을 설치하지 않은 상황에서 취할 수 있는 보안 조치마저도 소홀히 해 2300만명의 개인정보를 지키지 못했다.
문제의 OS를 처음 설치한 2016년 11월부터 2025년 4월까지 약 8년 반동안 취약점이 있는 OS를 보안조치 없이 사용했다는 얘기다.
개인정보위 관계자는 “SKT는 이미 밝혀진 취약점이 있는 OS를 설치했고, 이 취약점 패치가 공개됐음에도 패치를 하지 않았다”며 “이어 2020년부터 관련 백신들도 나왔지만 2025년까지 설치하지 않아 8년이 넘도록 보안 조치 없이 취약점이 있는 OS를 사용한 셈”이라고 설명했다.
▲DirtyCow 취약점 실행 악성파일 정보 [자료: 개인정보위]
이 외에도 SKT는 기본적 접근통제조차 이행하지 않아 인터넷과 내부망 사이의 보안 운영 환경이 해커의 불법적 침입에 매우 취약한 상태였다고 개인정보위는 설명했다.
SKT는 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서, 국내외 인터넷망에서 SKT 내부 관리망 서버로 들어오는 접근을 제한없이 허용했다. 관리망 서버는 이번 유출 사고가 발생한 HSS와 상호접속이 필요 없음에도 이를 허용, 해커가 인터넷망에서 HSS까지 접속해 HSS DB에 저장된 유심 정보 등을 외부로 전송할 수 있었다.
SKT는 침입탐지 시스템의 이상행위 로그도 확인하지 않는 등 불법적 유출 시도에 대한 탐지·대응 조치를 소홀히 했다. 특히 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인했음에도, 비정상 통신 여부나 추가 악성프로그램 설치 여부, 접근통제 정책 적절성 등을 점검하지 않았다. 이로 인해 유출 사고를 사전에 방지할 기회를 놓쳤다.
SKT는 가입자 인증과 이동통신 서비스 제공에 필수적으로 사용되는 인증정보인 유심 인증키(Ki) 2614만4363건을 암호화하지 않고 평문으로 HSS DB 등에 저장했다. 이에 해커는 유심 복제에 사용될 수 있는 유심 인증키를 원본 그대로 확보할 수 있었다.
특히 SKT는 2022년경 언론에서 유심 복제 등의 이슈가 제기됨에 따라 암호화 조치를 검토하면서, 다른 통신사가 유심 인증키(Ki)를 암호화해 저장하고 있음을 확인하였음에도 이를 조치하지 않아 유출 피해를 예방하지 못한 사실이 확인됐다.
▲악성프로그램 감염 및 개인정보 유출 경위 [자료: 개인정보위]
고학수 개인정보위원장 “구글·메타 건과는 카테고리 달라”
공격자는 △2021년 8월 SKT 내부망에 최초 침투해 다수 서버에 악성 프로그램을 설치하고, △2022년 6월 통합고객인증시스템(ICAS) 내 악성프로그램을 설치해 추가 거점을 확보해, △2025년 4월 18일 홈가입자서버(HSS) DB에 저장된 9.82GB 분량의 이용자 개인정보를 유출했다.
이에 따라 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함, 중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출됐다.
개인정보위의 이번 과징금 조치는 국내 개인정보 유출 사고 관련 과징금으로 역대 최고액이다. 개인정보위는 2022년 국내 이용자의 개인정보를 위법하게 수집한 구글과 메타에 각각 692억원, 308억원의 과징금을 부과한 바 있다.
고학수 개인정보위원장은 28일 브리핑에서 “위원회 내부적으로 침해사고와 유출사고를 구분해서 업무를 처리한다”며 “SK텔레콤 건은 유출사고 카테고리에 속한다”고 밝혔다. SK텔레콤 개인정보 ‘유출사고’ 건은 구글과 메타의 ‘침해사고’와 카테고리가 다르다는 설명이다.
법조계 한 관계자는 “SKT 해킹 사건에서 안전조치 위반의 정도는 평균 이상의 수준”이라며 “다만 (위반의 정도가) 극단적인 수준은 아니다”라고 분석했다.
[강현주 기자(jjoo@boannews.com)]
1. 보안 경보 발령 취약점 있는 OS 8년 반 사용
2. 공개된 패치나 상용 백신 등 보안 조치 하지 않아
3. 개인정보위원장 “구글·메타와 카테고리 달라”
[보안뉴스 강현주 기자] 유심 해킹 사고를 당한 SK텔레콤이 취약점으로 보안 경보가 발령된 운영체제를 8년 넘게 그대로 사용한 것으로 나타났다. 공개된 패치와 상용 백신이 있었음에도 보안조치 없이 2016년 11월부터 2025년 4월까지 운영한 것이다.
28일 개인정보보호위원회는 SKT에 과징금 1347억9100만원과 과태료 960만원을 부과했다고 밝혔다.
개인정보위와 한국인터넷진흥원(KISA)의 공동 조사 결과, SKT는 2016년 10월 취약점으로 보안 경보가 발령된 운영체제(OS)를 2025년 4월까지 어떤 보안 조치도 없이 계속 사용해온 것으로 나타났다.
▲SKT에 역대 최고액의 과징금이 부과됐다. [자료: 연합]
패치도 백신도 있었는데...조치 無
이번 사고에서 해커가 악성프로그램(BPFDoor) 설치에 활용한 OS 보안 취약점 ‘더티카우’(DirtyCow)는 2016년 10월 이미 보안 경보가 발령되고 보안 패치가 공개된 바 있다. SKT는 이를 인지하고 있었음에도 2016년 11월 홈가입자서버(HSS)에 이 취약점을 가진 OS를 설치했다. 또 2025년 4월 유출 당시까지도 보안 업데이트를 실시하지 않았다.
최소 2020년부터 이 취약점을 탐지할 수 있는 각종 상용 백신 프로그램들이 나왔음에도, SKT는 올해 4월까지 백신을 설치하지 않았다. 뿐만 아니라 백신을 설치하지 않은 상황에서 취할 수 있는 보안 조치마저도 소홀히 해 2300만명의 개인정보를 지키지 못했다.
문제의 OS를 처음 설치한 2016년 11월부터 2025년 4월까지 약 8년 반동안 취약점이 있는 OS를 보안조치 없이 사용했다는 얘기다.
개인정보위 관계자는 “SKT는 이미 밝혀진 취약점이 있는 OS를 설치했고, 이 취약점 패치가 공개됐음에도 패치를 하지 않았다”며 “이어 2020년부터 관련 백신들도 나왔지만 2025년까지 설치하지 않아 8년이 넘도록 보안 조치 없이 취약점이 있는 OS를 사용한 셈”이라고 설명했다.
▲DirtyCow 취약점 실행 악성파일 정보 [자료: 개인정보위]
이 외에도 SKT는 기본적 접근통제조차 이행하지 않아 인터넷과 내부망 사이의 보안 운영 환경이 해커의 불법적 침입에 매우 취약한 상태였다고 개인정보위는 설명했다.
SKT는 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서, 국내외 인터넷망에서 SKT 내부 관리망 서버로 들어오는 접근을 제한없이 허용했다. 관리망 서버는 이번 유출 사고가 발생한 HSS와 상호접속이 필요 없음에도 이를 허용, 해커가 인터넷망에서 HSS까지 접속해 HSS DB에 저장된 유심 정보 등을 외부로 전송할 수 있었다.
SKT는 침입탐지 시스템의 이상행위 로그도 확인하지 않는 등 불법적 유출 시도에 대한 탐지·대응 조치를 소홀히 했다. 특히 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인했음에도, 비정상 통신 여부나 추가 악성프로그램 설치 여부, 접근통제 정책 적절성 등을 점검하지 않았다. 이로 인해 유출 사고를 사전에 방지할 기회를 놓쳤다.
SKT는 가입자 인증과 이동통신 서비스 제공에 필수적으로 사용되는 인증정보인 유심 인증키(Ki) 2614만4363건을 암호화하지 않고 평문으로 HSS DB 등에 저장했다. 이에 해커는 유심 복제에 사용될 수 있는 유심 인증키를 원본 그대로 확보할 수 있었다.
특히 SKT는 2022년경 언론에서 유심 복제 등의 이슈가 제기됨에 따라 암호화 조치를 검토하면서, 다른 통신사가 유심 인증키(Ki)를 암호화해 저장하고 있음을 확인하였음에도 이를 조치하지 않아 유출 피해를 예방하지 못한 사실이 확인됐다.
▲악성프로그램 감염 및 개인정보 유출 경위 [자료: 개인정보위]
고학수 개인정보위원장 “구글·메타 건과는 카테고리 달라”
공격자는 △2021년 8월 SKT 내부망에 최초 침투해 다수 서버에 악성 프로그램을 설치하고, △2022년 6월 통합고객인증시스템(ICAS) 내 악성프로그램을 설치해 추가 거점을 확보해, △2025년 4월 18일 홈가입자서버(HSS) DB에 저장된 9.82GB 분량의 이용자 개인정보를 유출했다.
이에 따라 LTE·5G 서비스 전체 이용자 2324만4649명(알뜰폰 포함, 중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출됐다.
개인정보위의 이번 과징금 조치는 국내 개인정보 유출 사고 관련 과징금으로 역대 최고액이다. 개인정보위는 2022년 국내 이용자의 개인정보를 위법하게 수집한 구글과 메타에 각각 692억원, 308억원의 과징금을 부과한 바 있다.
고학수 개인정보위원장은 28일 브리핑에서 “위원회 내부적으로 침해사고와 유출사고를 구분해서 업무를 처리한다”며 “SK텔레콤 건은 유출사고 카테고리에 속한다”고 밝혔다. SK텔레콤 개인정보 ‘유출사고’ 건은 구글과 메타의 ‘침해사고’와 카테고리가 다르다는 설명이다.
법조계 한 관계자는 “SKT 해킹 사건에서 안전조치 위반의 정도는 평균 이상의 수준”이라며 “다만 (위반의 정도가) 극단적인 수준은 아니다”라고 분석했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)