[아이티데일리] SK텔레콤(SKT)이 처음 해킹 공격을 받은 시점이 2021년으로 드러났다. 공격자는 인터넷과 연결된 서버에 침투해 악성코드를 설치 후 4년여간 침해 활동을 위한 준비를 지속했다.

과학기술정보통신부는 4일 SKT 해킹 사고 관련 민관합동조사단의 최종 조사 결과를 발표했다.

조사단은 국내 이동통신 업계 1위 사업자에게 발생한 사고이며, BPF도어(BPFDoor) 악성코드의 은닉성 등을 고려해 SKT 전체 서버 42,605대를 점검했다. 그 결과 총 28대 서버가 감염된 사실을 확인했고 △BPF도어 27종 △타이니셸 3종 △웹셸 1종 △오픈소스 악성코드 2종 등 악성코드 총 33종을 발견했다.

최종 조사를 통해 초기 침투 시점이 2021년 8월 6일임이 새롭게 밝혀졌다. 공격자는 외부 인터넷 연결이 이뤄진 시스템 관리망 내 서버 A로 접속했다. 타 서버로 침투하고자 여기에 원격제어, 백도어(Backdoor) 기능이 포함된 악성코드 ‘크로스C2(CrossC2)’를 설치했다.

서버에 저장된 계정정보(아이디, 비밀번호 등)는 모두 평문으로 저장돼 있었다. 이를 활용해 공격자는 서버 B 등을 거쳐 고객 관리망 내 홈 가입자 서버(HSS) 관리 서버까지 도달했다. 2022년 6월경 웹셸과 BPF도어를 설치하고 이를 거점으로 삼았다.

공격자는 확보한 계정정보로 2023년 11월 30일부터 2025년 4월 21일까지 1년 6개월여간 시스템 관리망 내 여러 서버에 악성코드를 추가 설치했다. 이후 2025년 4월 18일 HSS 3개 서버에 저장된 유심(USIM) 정보 9.82기가바이트(GB)를 외부 인터넷과 연결된 서버를  통해 유출했다.

SKT는 해킹을 조기 발견할 수 있었음에도 잘못된 대응으로 기회를 놓쳤다. 회사는 2022년 2월 23일 특정 서버에서 비정상 재부팅이 발생함에 따라, 해당 서버와 연계된 영역을 점검하는 과정에서 악성코드 감염 사실을 발견해 조치했다. 하지만 이를 과기정통부나 한국인터넷진흥원(KISA)에 신고하지 않았다.

당시 점검 과정에서 이번 사고에서 감염이 확인된 HSS 관리 서버에 비정상 로그인 시도가 있던 정황도 발견했다. SKT는 서버 로그 6개 중 1개만 확인하는 바람에 공격자가 서버에 접속한 기록을 확인하지 못했다. 때문에 BPF도어 악성코드를 찾지 못했고 해킹에 조기 대응하는 데 실패했다.

주요 정보에 대한 암호화도 이뤄지지 않았다. SKT는 복제에 활용될 수 있는 ‘유심 인증키’ 값을 암호화하지 않고 저장했다. 세계이동통신사업자협회(GSMA)는 해당 정보를 암호화할 것을 권고하며 KT, LG유플러스 등 타 통신사는 이를 준수하고 있었다.

이 밖에도 SKT는 침해사고 인지 후 24시간이 지난 후 신고한 점, 자료 보전 명령에도 서버 2대를 포렌식 분석이 불가한 상태로 임의 조치한 사실이 밝혀졌다. 정보통신망법상 침해 신고 지연은 3천만 원 이하 과태료, 자료 보전 명령 위반은 2년 이하의 징역 또는 2천만 원 이하 벌금 부과 대상이다.

과기정통부는 SKT에 △엔드포인트 탐지 및 대응(EDR) 등 보안 솔루션 도입 확대 △제로 트러스트(Zero Trust) 체계 구현 △분기별 1회 이상 모든 자산 취약점 점검 등을 재발 방지 대책으로 요구했다.

이에 대한 계획을 7월 안에 제출토록 SKT에 지시하고, 이행 여부를 오는 11~12월 중 점검할 계획이다. 점검 결과 보완 필요 사항이 발생 할 경우 정보통신망법 제48조4에 따라 시정조치를 명령할 예정이다.

과기정통부 측은 “SKT 해킹 사고를 계기로 민간 분야 정보보호체계 전반을 개편해야 한다고 판단했다”며 “정보보호 투자 확대 및 거버넌스 강화 등을 위한 제도 개선 방안 등을 국회 과학기술정보통신위원회 내 태스크 포스(TF)와 논의해 마련하겠다”고 밝혔다.