조사단 4월23일부터 6월 27일 까지 SKT 전체 서버 조사

서울 종로구 SK텔레콤 대리점 모습. 2025.7.3/뉴스1 ⓒ News1 김명섭 기자

(서울=뉴스1) 김정현 기자 = SK텔레콤 해킹 사고를 조사한 민관합동조사단이 SKT 첫 공격 시점이 4년 전 2021년 이라고 최종 결론 내렸다. 28대 서버에서 총 33개 악성코드가 발견됐으며, 정보유출 규모는 9.82GB였다.

과학기술정보통신부 민관합동조사단(조사단)은 4일 오후 정부서울청사에서 열린 최종 조사결과 발표에서 "전체 서버 4만 2605대를 대상으로 점검한 결과 감염서버는 총 28대였고, 악성코드는 총 33종으로 확인돼 조치했다"고 밝혔다.

조사단은 지난 4월 23일부터 6월 27일까지 SKT 전체 서버를 대상으로 강도높은 조사를 진행하고, 감염 서버는 포렌식 등 정밀분석했다.

IMEI·통화기록 평문 저장 서버도 감염…로그 없는 기간 유출여부는 확인불가

조사단에 따르면 이번 침해사고에서 공격받은 28대 서버를 포렌식 분석한 결과△BPFDoor 27종 △타이니쉘 3종 △웹쉘 1종 △오픈소스 악성코드 2종(CrossC2 1종, 슬리버 1종) 등 악성코드 33종이 확인됐다.

유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이다. 유출 규모는 9.82GB로, IMSI를 기준으로 할 때 약 2696만 건에 달했다.

감염서버 중에는 단말기식별번호(IMEI) 및 개인정보(이름·생년월일·전화번호·이메일 등)가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시저장된 서버 1대도 있었다.

민관조사단은 "정밀 분석 결과 방화벽 로그기록이 남아있는 기간에는 자료 유출 정황이 없는 것이 확인됐다"면서도 "다만 악성코드 감염시점부터 로그기록이 없는 기간의 유출 여부 확인은 불가능했다"고 설명했다.

로그기록이 확인되지 않은 기간은 IMEI의 경우 지난 2022년 6월 15일부터 2024년 12월 2일까지이며, CDR은 지난 2023년 1월 31일부터 2024년 12월 8일까지다.

SKT 해킹 침투 루트(과기정통부 제공)/뉴스1

첫 감염 2021년 8월…ID·비번 평문 저장한 서버가 침투 루트돼

조사 과정에서 확인된 첫 감염서버를 기준으로 확인된 첫 공격 시점은 지난 2021년 8월 6일이다.

공격자(해커)는 외부망과 연결된 SKT 시스템 관리망 서버에 접속해 타 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드(CrossC2)를 설치했다.

해당 서버에는 시스템 관리망 내 서버에 접속하기 위한 ID, 비밀번호 등 계정정보가 평문으로 저장돼 있었다. 해커는 이 계정정보로 침투한 두번째 서버에서 평문으로 저장된 '음성통화인증(HSS) 관리서버의 계정정보'까지 확보했다. HSS 관리서버는 가입자 정보를 중앙 집중적으로 관리하는 핵심 서버다.

해커는 지난 2021년 12월 24일 HSS 관리서버에 접속한 뒤, HSS 관리서버 및 HSS에 BPFDoor를 설치했다. 또 해커는 지난 2022년 6월에는 고객 관리망 내 서버에도 접속한 것으로 추정되며, 추가로 웹쉘, BPFDoor 등 악성코드를 설치했다.

이 과정에서 SKT가 시스템 관리망 내 서버의 계정 패스워드를 장기간 미변경한 사실도 드러났다. 패스워드 만료일 설정은 물론, 변경 이력도 없었다.

결국 해커는 초기 침투에 확인된 계정정보로 지난 2023년 11월 30일부터 2025년 4월 21일 사이 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치했다.

이어 지난 2025년 4월 18일에는 HSS 3개서버에 저장된 유심정보를 외부 인터넷 연결 접점이 있는 서버를 통해 유출했다.

Kris@news1.kr

Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.