다음으로, 감염서버 및 정보유출 규모에 대해 말씀드리겠습니다.
조사단은 이번 침해사고로 공격을 받은 총 28대의 서버에 대한 포렌식 분석 결과, BPFDoor 27종, 타이니쉘 3종, 웹쉘 1종, CrossC2 1종, 슬리버 1종 등 악성코드 33종을 확인하였습니다.
확인된 악성코드 정보는 피해 확산 방지를 위해 백신사, 경찰청, 국정원 등 주요 민간 및 공공기관에 공유하였으며, 악성코드 점검 가이드를 보호나라 누리집을 통해 배포하였습니다.
또한, 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며, 확인된 유출 규모는 9.82GB, IMSI 기준 약 2,696만 건이었습니다.
한편, 조사단은 감염서버 중 단말기식별번호(IMEI), 이름, 전화번호 등 개인정보가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견하였으나, 정밀 분석 결과 방화벽 로그 기록이 남아 있는 기간에는 자료 유출 정황이 없는 것을 확인하였습니다.
다만, 악성코드가 감염된 시점부터 방화벽 기록이 남아있지 않은 기간에는 정보유출 여부를 확인할 수 없었습니다.
다음으로, 사고 원인에 대해 말씀드리겠습니다.
화면에서 보시는 바와 같이 공격자의 행위를 초기 침투, 추가 거점 확보, 정보유출 3단계로 구분할 수 있었습니다.
먼저, 초기 침투 단계에서 공격자는 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버 A에 접속한 후 2021년 8월 6일 타 서버에 침투하기 위해 원격제어 등의 기능이 포함된 CrossC2라는 악성코드를 설치하였습니다.
당시 서버 A에는 시스템 관리망 내 서버들의 계정 ID, 비밀번호 등이 평문으로 저장되어 있었으며 공격자는 동 계정정보를 활용해 시스템 관리망 내 서버 B에 접속한 것으로 추정됩니다.
조사단은 추정의 근거로 서버 A에 평문으로 저장된 ID, 비밀번호를 활용해 서버 B에 접속한 로그기록은 남아 있지 않으나 시스템 관리망 내 타 서버에 접속한 기록은 남아 있어 서버 B에도 같은 방식으로 접속이 가능하다고 판단하였습니다.
또한, 당시 서버 B에는 코어망 내 음성통화인증(HSS) 관리서버의 계정정보가 평문으로 저장되어 있었으며, 공격자는 동 계정정보를 활용하여 2021년 12월 24일 음성통화인증(HSS) 관리서버에 접속 후 동 서버 및 음성통화인증 서버에 BPFDoor를 설치하였습니다.
둘째, 추가 거점 확보 단계에서 공격자는 시스템 관리망을 통해 고객 관리망 내 서버에 접속한 것으로 추정되며 2022년 6월 15일, 6월 22일에 웹쉘, BPFDoor를 설치하였습니다.
조사단은 추정의 근거로 공격자가 시스템 관리망과 고객 관리망 간 통신을 했던 기록을 바탕으로 공격자가 시스템 관리망 내 감염서버에서 고객 관리망으로 접속이 가능하다고 판단하였습니다.
마지막으로, 정보유출 단계입니다.
공격자는 초기 침투 과정에서 확보한 계정정보를 활용하여 시스템 관리망 내 여러 서버에 2023년 11월 30일부터 2025년 4월 21일까지 악성코드를 설치하였습니다.
이후 공격자는 2025년 4월 18일 음성통화 인증 서버 3개 서버에 저장된 유심정보를 시스템 관리망 내 외부 인터넷 연결 접점이 있는 서버 C를 거쳐 유출하였습니다.
사고 원인과 더불어 조사단은 조사 과정에서 SK텔레콤의 정보보호체계의 여러 문제점을 발견하고 재발방지 대책을 요구할 것입니다.
먼저, 악성코드가 감염된 경위 및 침해사고 대처 등과 관련하여 SK텔레콤은 계정정보 관리 부실, 과거 침해사고 대응 미흡, 주요 정보 암호화 조치 미흡 등의 문제점이 있었습니다.
첫째, SK텔레콤은 정보보호관리체계 ISMS 인증기준에 따라서 서버 로그인 ID, 비밀번호를 안전하게 관리해야 하였으나 이번 사고에서 감염이 확인된 음성통화인증 관리서버 계정정보를 타 서버에 평문으로 저장하였습니다.
조사단은 공격자가 이처럼 암호화되지 않은 계정정보를 활용하여 음성통화인증 관리서버 및 음성통화인증 서버 HSS를 감염시킨 것을 확인하였습니다.
[출처] 대한민국 정책브리핑 (www.korea.kr)
서버관리자 id/pw가 저장된 서버가 평문으로 저장하고 있었다네요 ㅋㅋㅋㅋㅋ
해커가 그냥 id/pw입력하고 봤을것 같아요 ㅋㅋㅋㅋㅋㅋ
이거 훼이크 아냐 하고여 ㅎㄷㄷㄷㄷㄷ 이럴리가 없을텐데 하고여 ㄷㄷㄷㄷㄷ
1.총 28대 서버에서 BPFDoor, CrossC2, 웹쉘 등 악성코드 33종이 발견되었고, 유출 정보는 약 2,696만 건(IMSI 기준), 총 9.82GB에 달함.
2.일부 서버에서 개인정보가 평문으로 저장됐으나, 방화벽 로그가 있는 기간에는 유출 정황이 확인되지 않음.
3.침투 경로는 평문 계정정보를 활용한 내부 서버 간 침입으로, 초기 침투부터 정보 유출까지 3단계로 진행됨.
4.공격자는 2021년부터 2025년까지 다양한 악성코드를 설치하며 접근 범위를 넓혀, 최종적으로 유심정보를 외부로 유출함.
5.SK텔레콤은 계정정보 평문 저장, 암호화 미비, 침해사고 대응 부실 등 정보보호체계상 다수의 문제점이 지적됨.