과기부 "SKT, 4년 전부터 해킹 공격받아…서버 28대에 악성코드 33종"

【서울 = 서울뉴스통신】 이민희 기자 = 두달 간 이뤄진 SK텔레콤의 해킹사고의 최종 결과가 발표됐다. 

과학기술정보통신부는 4일 "SK텔레콤은 유심정보 보호를 위한 주의의무를 다하지 않았고 관련 법령을 미준수 하였으므로, 이번 침해사고에 과실이 있는 것으로 판단한다"라고 결론내렸다.

조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과, BPF도어(Door) 27종을 포함한 악성코드 33종을 확인했다. 구체적으로 BPF도어 27종, 타이니쉘 3종, 웹쉘 1종, 오픈소스 악성코드 2종(CrossC2 1종, 슬리버 1종)이다.

확인된 악성코드 정보는 피해 확산 방지를 위해 백신사, 경찰청, 국정원 등 주요 민간·공공기관에 공유하고, 악성코드 점검 가이드를 보호나라 누리집을 통해 배포했다.

조사단은 △감염 서버 중 단말기식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 개인정보가 평문(암호화되지 않은 정보)으로 임시 저장된 서버 2대 △통화 시간, 수발신자 전화번호 등 통신 활동 관련 정보가 담긴 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했다.

아울러, 정밀 분석 결과 방화벽 로그기록이 남아있는 기간에는 자료 유출 정황이 없는 것을 확인했다. 다만 악성코드 감염 시점부터 로그기록이 없는 기간에는 유출 여부 확인이 불가능했다.

조사단은 이어 공격자가 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버(A)에 접속 후 다른 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드(CrossC2)를 2021년 8월 6일에 설치한 것으로 확인했다.

앞선 조사에서는 2022년 6월에 악성코드가 처음 심긴 것으로 파악됐으나, 최종 조사에서는 이보다 1년 더 빠른 시기에 악성코드가 심긴 것으로 나타난 것이다.

당시 서버A에는 시스템 관리망 내 서버들의 계정 정보(ID, 비밀번호 등)가 평문으로 저장돼 있었으며 공격자는 같은 계정 정보를 활용해 시스템 관리망 내 다른 서버(B)에 접속한 것으로 추정된다.

서버A에 평문으로 저장된 ID, 비밀번호를 활용해 서버 B에 접속한 로그기록은 남아있지 않지만 동일한 ID, 비밀번호로 시스템 관리망 내 다른 서버에 접속한 기록을 확인했다.

SK텔레콤은 지난 4월 18일 오후 11시20분 평소 대비 대용량 데이터가 외부로 전송된 정황을 인지하고, 20일 오후 4시46분 한국인터넷진흥원(KISA)에 침해사고를 신고했다. 정보통신망법 상 사고인지 시점부터 24시간 이내에 신고를 해야 하며, 이를 위반 시 3000만원 이하 과태료를 부과 받게 된다.

과기정통부는 SK텔레콤의 유심정보 유출을 중대한 침해사고로 판단하고 4월 23일 민관합동조사단을 구성해 피해 현황, 사고 원인 등을 조사했다.

조사단은 이번 SK텔레콤 침해사고가 ▲국내 1위 이동통신사의 침해사고 ▲유심정보 유출로 인한 휴대폰 부정 사용 등 국민 우려 증가 ▲악성코드의 은닉성 등을 고려하여 전체 서버 4만2605대를 대상으로 BPFDoor 및 다른 악성코드 감염 여부에 대해 6월 27일까지 조사를 시행했다.

조사 과정에서 확인된 감염서버는 포렌식 등 정밀분석을 통해 정보유출 등 피해발생 여부를 파악했다.