메인 콘텐츠로 이동하기
  1. 보안 시사 분석/
  2. 2025/
  3. Week 52/

SK텔레콤 유심 정보 유출 사고

·2962 자·6 분
Security-Issues-Analysis BPFDoor APT공격 유심정보유출 Linux보안 EDR 사고대응
목차

SK텔레콤 유심 정보 유출 사고 #

기사 정보 #

핵심 요약 #

2025년 4월 18일, SK텔레콤의 핵심 서버(HSS)가 BPFDoor 악성코드에 감염되어 약 2,696만 건의 유심(USIM) 정보가 유출되었다. 민관합동조사단은 28대 서버에서 33종의 악성코드를 발견했으며, 공격자는 2022년 6월부터 침투해 있었던 것으로 확인되었다. SK텔레콤은 역대 최대 과징금 1,348억원을 부과받았다.

사건/이슈 배경 #

무슨 일이 일어났는가? #

사고 발견 경위:

  • 2025년 4월 18일 18:09, SK텔레콤 보안관제센터가 내부 시스템 간 비정상적 데이터 이동(9.7GB) 감지
  • 4월 18일 23:20, 악성코드 설치 사실 확인
  • 4월 19일 23:40, HSS(Home Subscriber Server)에서 USIM 정보 유출 확정
  • 4월 20일 16:46, 한국인터넷진흥원(KISA)에 침해사고 신고

유출된 정보:

  • 가입자 전화번호
  • 가입자 식별키(IMSI - International Mobile Subscriber Identity)
  • 유심 인증 정보 등 총 25종의 정보
  • 유출 규모: 약 2,696만 건 (SK텔레콤 전체 가입자의 대부분)

추가 조사 결과:

  • 민관합동조사단 최종 조사(7월 4일): 서버 28대에서 악성코드 33종 발견
  • 2022년 6월 15일부터 악성코드가 설치되어 있었음이 확인됨
  • 2022년 6월 15일부터 2024년 12월 2일까지의 로그가 삭제되어 초기 침해 경위 파악 불가

누가 관련되었는가? #

  • 공격자/위협 주체:

    • 중국 기반 APT 그룹으로 추정 (Red Menshen, 위버 앤트 등)
    • 단, BPFDoor 소스코드가 GitHub에 오픈소스로 공개되어 있어 공격자 특정은 어려움

  • 피해자/영향 받은 대상:

    • SK텔레콤 가입자 약 2,696만 명
    • 알뜰폰 사용자 포함

  • 기타 관련 당사자:

    • 과학기술정보통신부 민관합동조사단
    • 한국인터넷진흥원(KISA)
    • 개인정보보호위원회

원인 분석 #

기술적 원인 #

악성코드 - BPFDoor:

  • Linux 및 Solaris 시스템을 대상으로 하는 스텔스형 백도어
  • Berkeley Packet Filter(BPF) 기술을 악용하여 네트워크 트래픽 필터링
  • 포트를 열지 않고 외부 연결 대기 (매직 패킷 방식)
  • 메모리 상주(fileless) 방식으로 탐지 회피
  • 프로세스 위장 기능 보유

침투 경로:

  • 기사에서는 정확한 초기 침투 경로가 명시되지 않음
  • 보안 전문가들은 VPN 또는 원격 액세스 기기의 취약점 악용 가능성 제기
  • 웹셸(WebShell) 또는 RCE(Remote Code Execution) 공격 가설도 제기됨

기술적 취약점:

  • Linux 기반 서버에 대한 백신 및 EDR(Endpoint Detection and Response) 시스템 부재
  • HSS 서버의 보안 모니터링 체계 미흡
  • 음성통화인증 관리서버 계정정보를 타 서버에 평문으로 저장 (ISMS 인증기준 위반)

관리적/절차적 원인 #

사고 대응 실패:

  • 2022년 2월 23일, 악성코드 감염 서버 발견했으나 정보통신망법에 따른 신고 의무 미이행
  • 침해사고 은폐 시도로 인한 초기 대응 실패
  • 2022년 6월부터 약 3년간 공격자가 시스템에 잠복

보안 관리 체계 미흡:

  • 리눅스 서버에 대한 체계적인 보안 솔루션 부재
  • 내부 시스템 간 비정상 트래픽 탐지 체계 미흡
  • 로그 관리 정책 부재 (2년 이상의 로그 삭제)

늑장 신고:

  • 4월 18일 사고 발견 후 4월 20일에야 KISA에 신고
  • 고객 대상 공지는 4월 22일에 이루어짐

인적 원인 #

  • 기사에서 인적 원인에 대한 구체적인 언급 없음
  • 다만, 2022년 발견된 악성코드를 신고하지 않은 조직적 의사결정 문제 존재

영향 및 파급효과 #

직접적 영향 #

고객 피해:

  • 2,696만 명의 USIM 정보 유출
  • SIM 스와핑(SIM Swapping) 위험: 유심 복제를 통한 타인 전화번호 인증 시도 가능
  • 실제 피해 사례: 부산 60대 남성, 본인 명의 알뜰폰 개통 및 5,000만원 인출 사건

기업 피해:

  • 개인정보보호위원회로부터 역대 최대 과징금 1,348억원 부과
  • CEO 교체: 유영상 대표 사임, 정재헌 대외협력 사장 신임 (법조인 출신 CEO)
  • 임원진 30% 감축 등 대규모 조직 개편

간접적 영향 #

산업 전반:

  • 통신 3사(SKT, KT, LGU+) 모두 해킹 피해 발생으로 국내 통신 인프라 전반의 보안 문제 부각
  • Linux 서버 보안에 대한 인식 제고
  • EDR, ASM(Attack Surface Management) 등 보안 솔루션 수요 증가

정책적 영향:

  • 정부의 사이버 보안 규제 강화 움직임
  • 통신사에 대한 보안 감독 체계 재검토

예상 피해 규모 #

  • 직접적 과징금: 1,348억원
  • 고객 이탈로 인한 매출 손실: 기사에서 구체적 수치 언급 없음
  • 보안 시스템 재구축 비용: 언급 없음
  • 법적 소송 비용: 진행 중

예방 및 대응 방안 #

사전 예방 방법 #

  1. Linux 서버 보안 강화

    • EDR(Endpoint Detection and Response) 솔루션 도입
    • 리눅스 기반 백신 및 행위 기반 탐지 시스템 구축
    • BPF 기반 악성코드 탐지를 위한 전문 도구 활용

  2. 공격 표면 관리(ASM)

    • 외부 노출 자산 지속적 모니터링
    • VPN 및 원격 접속 시스템의 취약점 정기 점검
    • 패치 관리 체계 강화

  3. 접근 통제 강화

    • 계정 정보 평문 저장 금지
    • 최소 권한 원칙 적용
    • 다중 인증(MFA) 적용

사고 발생 시 대응 방안 #

  1. 즉시 신고 및 격리

    • 정보통신망법에 따른 즉시 신고 의무 이행
    • 감염 시스템 즉시 격리 및 네트워크 차단

  2. 포렌식 조사

    • 로그 보존 및 분석
    • 악성코드 샘플 확보 및 분석
    • 침해 범위 정확한 파악

  3. 고객 보호 조치

    • 신속한 고객 공지
    • USIM 교체 등 보호 서비스 제공
    • 2차 피해 모니터링

재발 방지 대책 #

기술적 대책:

  • 리눅스 서버 전용 보안 솔루션 도입 (EDR, 행위 기반 탐지)
  • 네트워크 트래픽 이상 탐지 시스템 고도화
  • 로그 관리 정책 수립 (최소 3-5년 보관)

관리적 대책:

  • 보안 거버넌스 강화
  • 침해사고 대응 매뉴얼 정비
  • 정기적 보안 점검 및 모의훈련

조직적 대책:

  • 정보보호 조직 확대 및 권한 강화
  • 보안 전문 인력 확충
  • 경영진의 보안 의식 제고

개인 인사이트 #

배운 점 #

  1. APT 공격의 장기화 특성

    • 2022년 6월부터 2025년 4월까지 약 3년간 공격자가 시스템에 잠복
    • 단순한 침입 탐지가 아닌, 지속적인 모니터링과 이상 행위 탐지의 중요성
    • 한 번의 침해는 즉각적 피해가 아닌 장기간의 정보 수집으로 이어질 수 있음

  2. Linux 서버 보안의 맹점

    • 많은 기업이 Windows 중심의 보안 체계를 갖추고 있으나, Linux 서버는 상대적으로 취약
    • BPFDoor처럼 Linux 커널 기능을 악용하는 고도화된 악성코드에 대한 대비 필요
    • 운영체제별 맞춤형 보안 전략 수립 필요

  3. 사고 대응의 골든타임

    • 2022년 악성코드를 발견했음에도 신고하지 않아 피해 확대
    • 초기 대응 실패가 3년 후 역대 최대 규모의 피해로 연결
    • 법적 신고 의무 준수가 단순한 규제 준수가 아닌 피해 최소화의 핵심임을 인식

  4. 로그 관리의 중요성

    • 2년 이상의 로그가 삭제되어 초기 침해 경위 파악 불가
    • 포렌식 조사와 재발 방지를 위해서는 장기간 로그 보관이 필수
    • 로그 보관 정책은 비용이 아닌 투자로 인식해야 함

  5. 공개된 악성코드의 위협

    • BPFDoor 소스코드가 GitHub에 공개되어 있어 누구나 활용 가능
    • 공개된 공격 도구를 기반으로 한 변종 공격에 대한 대비 필요
    • 위협 인텔리전스 공유의 양면성 (정보 공유 vs. 공격 도구화)

느낀 점 #

조직 문화와 보안:

  • 2022년 악성코드 발견 후 신고하지 않은 것은 단순한 실수가 아닌 조직적 의사결정
  • 보안 사고를 ‘문제’가 아닌 ‘리스크’로 은폐하려는 조직 문화가 더 큰 재앙을 초래
  • 진정한 보안은 기술뿐 아니라 투명한 조직 문화에서 시작됨

통신 인프라의 특수성:

  • IMSI 같은 통신 인증 정보는 암호화 저장 시 실시간 인증 지연 발생
  • 성능과 보안 사이의 트레이드오프를 고려한 설계 필요
  • 통신 인프라는 국가 안보와 직결되는 만큼 더 높은 수준의 보안 기준 적용 필요

사고 공개의 딜레마:

  • 고객 공지가 사고 발견 4일 후에 이루어짐
  • 신속한 공개와 정확한 조사 사이의 균형점 찾기 어려움
  • 그러나 투명한 커뮤니케이션이 장기적으로는 신뢰 회복의 지름길

학습해야 할 기술 영역:

  • BPF(Berkeley Packet Filter) 메커니즘과 이를 악용한 공격 기법
  • Linux 커널 레벨 악성코드 탐지 기술
  • APT 공격의 Tactics, Techniques, and Procedures (TTPs) 분석
  • MITRE ATT&CK 프레임워크를 활용한 공격 단계별 대응 전략

관련 자료 #

  • [KISA 보호나라] BPFDoor 악성코드 위협정보 및 점검 가이드
  • [한국인터넷진흥원] 최근 해킹공격에 악용된 악성코드, IP 등 위협정보 공유
  • [과학기술정보통신부] SK텔레콤 침해사고 민관합동조사단 최종 조사결과
  • MITRE ATT&CK Framework - Linux 플랫폼 공격 기법

분석일: 2024-12-28
키워드: #BPFDoor #APT공격 #유심정보유출 #Linux보안 #EDR #사고대응