SKT 유심 서버 해킹 후폭풍, 2차 조사 결과 악성코드는 3년전 부터 시작 충격

SKT에서 유심 서버 해킹이 발생한 BPFDoor 악성코드 침해사고에 대해 과학기술정보통신부와 민관합동조사단이 2차 조사 결과를 발표했습니다. 이번 사고의 원인과 정부의 대응 현황을 정리합니다.

지난달 SK텔레콤(SKT)에서 발생한 대규모 침해사고에 대해 과학기술정보통신부와 민관합동조사단이 2차 조사 결과를 발표했습니다.

이번 사고는 BPFDoor 계열의 악성코드가 SKT의 리눅스 서버에 침투하면서 시작되었으며, 조사단은 사고의 심각성과 파급력을 고려해 전사적 차원의 강도 높은 점검을 진행하고 있습니다.

조사단은 SKT 서버 시스템 전체를 대상으로 2단계에 걸친 점검을 실시하고 있습니다.

1단계에서는 BPFDoor 감염 여부를 중점적으로 리눅스 서버를 집중 점검하였고,

2단계에서는 BPFDoor 외 다른 악성코드 감염 가능성을 확인하기 위해 모든 서버로 점검 범위를 확대하고 있습니다.

현재까지 4차례에 걸친 1단계 점검 결과를 바탕으로 2차 발표가 이루어졌습니다.

조사단은 지금까지 총 23대의 서버에서 악성코드 감염을 확인했으며, 이 중 15대에 대한 포렌식 등 정밀분석을 완료하고 나머지 8대에 대해서도 분석을 진행하고 있습니다.

발견된 악성코드는 BPFDoor 계열 24종과 웹셸 1종 등 총 25종에 달합니다.

이와 같은 대규모 감염은 BPFDoor 계열 악성코드의 은닉성, 내부 침투력 등 특성 때문에 더욱 우려를 낳고 있습니다.

특히, 4차 점검에서는 국내외에서 알려진 BPFDoor 변종 202종을 모두 탐지할 수 있는 최신 툴을 적용해 점검의 정확도를 높였습니다.

1~3차 점검은 SKT가 자체적으로 실시한 뒤 조사단이 이를 검증하는 방식이었으나, 4차 점검은 조사단이 직접 한국인터넷진흥원(KISA)과 협력해 진행했습니다.

이번 사고에서 국민적 관심이 집중된 부분은 IMEI(단말기 고유식별번호) 등 개인정보 유출 여부입니다.

조사단은 IMEI가 저장된 38대 서버를 집중 점검해 악성코드 감염이 없음을 확인했으나, 추가 포렌식 과정에서 연동 서버의 임시 저장 파일에서 29만 1831건의 IMEI가 포함된 사실을 확인했습니다.

조사 결과, 방화벽 로그가 남아있는 2023년 12월 3일부터 2024년 4월 24일까지는 자료 유출이 없었던 것으로 확인되었습니다.

다만, 로그가 남아있지 않은 2022년 6월 15일부터 2023년 12월 2일까지의 자료 유출 여부는 아직 확인되지 않았습니다.

조사단은 개인정보가 저장된 서버를 확인한 즉시 사업자에게 자체적으로 유출 가능성을 점검하고 국민 피해 예방 대책을 마련하도록 요청했습니다.

또한, 개인정보보호위원회에도 관련 사실을 통보하고, 사업자 동의를 받아 서버 자료를 공유하는 등 투명하게 대응하고 있습니다.

과학기술정보통신부는 사건 초기부터 다른 통신사와 주요 플랫폼 기업을 대상으로 유사 사고 예방을 위한 긴밀한 대응을 이어오고 있습니다.

통신 3사와 플랫폼 4개사의 보안 리더들과 직접 만나 보안 현황을 점검하고, 보안점검 태스크포스(TF)를 운영해 매일 또는 주단위로 점검 결과를 확인하고 있습니다.

중앙행정기관, 지자체, 공공기관은 국가정보원 주관으로 점검이 진행 중이며, 현재까지 민간 및 공공 분야 모두에서 신고된 피해 사례는 없는 것으로 확인됐습니다.

조사단은 악성코드 탐지 및 대응 정보를 6110개 행정부처, 공공기관, 기업 등에 안내해 피해 확산 방지에 주력하고 있습니다.

앞으로도 침해사고 조사 과정에서 국민 피해가 우려되는 정황을 발견하면 즉시 공개하고, 사업자가 신속히 대응할 수 있도록 지원할 계획입니다.

정부 차원의 추가 대응책도 지속적으로 마련할 예정입니다.

이번 SKT 침해사고는 국내 대형 통신사의 보안 취약점과 악성코드의 위협을 다시 한 번 일깨워주는 사건이었습니다.

정부와 민간이 협력해 신속하고 투명하게 대응하는 것이 무엇보다 중요합니다.

앞으로도 관련 기관과 기업들은 보안 점검을 강화하고, 국민 피해 예방에 최선을 다해야 할 것입니다.