AD
[앵커]
SK텔레콤 해킹 사고에 대한 민관합동조사단의 2차 조사 결과가 잠시 후 발표됩니다.
1차 조사 결과가 발표된 이후 약 3주 만인데 추가 해킹 피해가 확인됐을지가 관건입니다.
현장으로 가보겠습니다
[최우혁 / 정보보호네트워크정책관]
지금부터 SK 해킹 사고에 대한 민간합동조사단의 2차 조사 결과를 말씀드리겠습니다.
조사단은 6월까지 SKT 서버 시스템 전체를 강도 높게 점검한다는 목표 하에 1단계, 초기 발견된 BPFDoor 감염 여부를 확인하기 위해 리눅스 서버 약 3만 여 대를 집중 점검하고 2단계, BPFDoor 및 타 악성코드 감염 여부 확인을 위해 리눅스 포함 모든 서버로 점검 대상을 확대하는 방식으로 조사를 진행하고 있습니다.
현재까지 4차례 점검이 실시된 1단계 결과를 정리하여 이번 2차 발표를 하게 된 것입니다.
조사단은 5월 19일 현재 총 23대의 서버 감염을 확인하여 15대에 대한 포렌식 등 정밀분석을 완료하였습니다.
나머지 8대에 대한 분석을 진행함과 동시에 타 악성코드에 대해서도 탐지 및 제거를 위한 5차 점검을 진행하고 있습니다.
현재까지 BPFDoor계열 24종, 웹셀 1종 등 악성코드 25종을 발견 및 조치하였습니다.
조사단은 BPFDoor 탐지를 위한 1단계 조사 과정에서 SKT의 리눅스 서버 약 3만여 대에 대해 지난 5월 14일까지 진행하였습니다.
4차례에 걸친 강도 높은 조사는 1차 점검에서 확인한 BPFDoor의 은닉성, 내부까지 깊숙이 침투할 가능성 등을 감안하여 다른 서버에 대한 공격이 있었을 가능성을 확인하기 위한 목적이었습니다.
특히 4차 점검은 24종을 포함하여 국내외에 알려진 악성코드 변종 202종을 모두 탐지할 수 있는 툴을 적용하였습니다.
1∼3차 점검은 SKT가 자체 점검 후 조사단이 이를 검증하는 방식으로 진행하였으며4차 점검은 조사단이 한국인터넷진흥원의 인력을 지원 받아 직접 조사를 진행하였습니다.
조사단은 1차 조사결과에서 발표한, 유출된 유심정보의 규모가 9.82GB이며, 가입자 식별키 임시 기준으로 26,957,749건임을 확인하였습니다.
또한, 악성코드는 4월 25일 1차 공지한 4종, 2차 공지한 8종 외 BPFDoor 계열 12종과 웹셸 1종을 추가로 확인하였습니다.
조사단은 1차, 2차는 악성코드 특성 정보, 3차에는 국내외 알려진 BPFDoor 계열 모두를 탐지할 수 있는 툴의 제작방법을 6,110개 행정부처, 공공기관, 기업 등에 안내하여 피해 확산을 방지하고자 하였습니다.
한편 과기정통부는 타 통신사 및 주요 플랫폼 기업 대상으로 유사 사고가 발생할 가능성을 대비해 사건 초기부터 관련 업계와 긴밀히 대응해 왔습니다.
이를 위해 5월 3일 연휴 기간 중에도 장관이 통신 3사 및 주요 플랫폼 4개 기업의 보안 리더들과 만나 현 보안 상황을 점검하고 향후에도 철저한 점검과 대응을 당부한 바 있습니다.
또한 5월 12일부터는 통신사 및 플랫폼사 보안 점검 TF를 운영하여 타 통신사 및 플랫폼 4개 사에 대해 일 또는 주 단위로 점검 결과를 확인하고 있습니다.
이와 함께 중앙행정기관, 지자체, 공공기관은 국정원 주관으로 점검을 진행 중으로 현재까지 민간, 공공 분야 모두 신고된 피해사례는 없습니다.
1차 발표 이후 공격을 받은 정황이 있는 서버는 추가로 18대가 식별되어 현재까지 총 23대가 공격을 받은 정황이 있는 것으로 확인되었습니다.
총 23대 중 현재까지 15대는 포렌식, 로그분석 등 정밀분석을 완료하였으며 나머지 8대는 5월 말까지 분석을 완료할 예정입니다.
분석이 완료된 15대 중 개인정보 등을 임시 저장하는 2대를 확인하였습니다.
이에 조사단은 5월 18일까지 2차에 걸쳐 자료 유출 여부에 대해 추가적인 조사를 실시하고 조사단 전체회의를 5월 14일, 5월 18일 두 차례 진행하였습니다.
해당 서버는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 단말기 고유식별번호 IMEI와이름, 전화번호, 생년월일 등 다수의 개인정보가 있었습니다.
한편 침해사고 발생 후 복제폰으로 인한 피해 우려로 IMEI 유출 여부에 대해 국민적 관심이 높았었습니다.
이에 조사단은 조사 초기IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검하여 감염되지 않음을 확인하고 1차 조사 결과를 발표한 바 있습니다.
이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI가포함되고 있음을 확인하게 되었습니다.
동 과정에 조사단은 해당 서버의 저장된 파일에 총 291,831건의 IMEI가 포함된 사실을 확인하였습니다.
조사단이 2차에 걸쳐서 정밀 조사를 한 결과, 방화벽 로그기록이남아 있는 24년 12월 3일부터 25년 4월 24일간에는 자료유출이 없었습니다.
다만 최초로 해당 서버에 악성코드가 설치된 시점이 22년 6월 15일부터 로그기록이 남아 있지 않은 24년 12월 2일까지는 자료 유출 여부가 현재까지는 확인되지 않았습니다.
조사단은 개인정보 등이 저장된 문제의 서버들을 확인한 5월 11일 즉시 사업자에게 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체 확인하는 한편 이로 인한 국민 피해를 예방할 수 있는 조치를 강구하라고 요구하였습니다.
※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
SK텔레콤 해킹 사고에 대한 민관합동조사단의 2차 조사 결과가 잠시 후 발표됩니다.
1차 조사 결과가 발표된 이후 약 3주 만인데 추가 해킹 피해가 확인됐을지가 관건입니다.
현장으로 가보겠습니다
[최우혁 / 정보보호네트워크정책관]
지금부터 SK 해킹 사고에 대한 민간합동조사단의 2차 조사 결과를 말씀드리겠습니다.
조사단은 6월까지 SKT 서버 시스템 전체를 강도 높게 점검한다는 목표 하에 1단계, 초기 발견된 BPFDoor 감염 여부를 확인하기 위해 리눅스 서버 약 3만 여 대를 집중 점검하고 2단계, BPFDoor 및 타 악성코드 감염 여부 확인을 위해 리눅스 포함 모든 서버로 점검 대상을 확대하는 방식으로 조사를 진행하고 있습니다.
현재까지 4차례 점검이 실시된 1단계 결과를 정리하여 이번 2차 발표를 하게 된 것입니다.
조사단은 5월 19일 현재 총 23대의 서버 감염을 확인하여 15대에 대한 포렌식 등 정밀분석을 완료하였습니다.
나머지 8대에 대한 분석을 진행함과 동시에 타 악성코드에 대해서도 탐지 및 제거를 위한 5차 점검을 진행하고 있습니다.
현재까지 BPFDoor계열 24종, 웹셀 1종 등 악성코드 25종을 발견 및 조치하였습니다.
조사단은 BPFDoor 탐지를 위한 1단계 조사 과정에서 SKT의 리눅스 서버 약 3만여 대에 대해 지난 5월 14일까지 진행하였습니다.
4차례에 걸친 강도 높은 조사는 1차 점검에서 확인한 BPFDoor의 은닉성, 내부까지 깊숙이 침투할 가능성 등을 감안하여 다른 서버에 대한 공격이 있었을 가능성을 확인하기 위한 목적이었습니다.
특히 4차 점검은 24종을 포함하여 국내외에 알려진 악성코드 변종 202종을 모두 탐지할 수 있는 툴을 적용하였습니다.
1∼3차 점검은 SKT가 자체 점검 후 조사단이 이를 검증하는 방식으로 진행하였으며4차 점검은 조사단이 한국인터넷진흥원의 인력을 지원 받아 직접 조사를 진행하였습니다.
조사단은 1차 조사결과에서 발표한, 유출된 유심정보의 규모가 9.82GB이며, 가입자 식별키 임시 기준으로 26,957,749건임을 확인하였습니다.
또한, 악성코드는 4월 25일 1차 공지한 4종, 2차 공지한 8종 외 BPFDoor 계열 12종과 웹셸 1종을 추가로 확인하였습니다.
조사단은 1차, 2차는 악성코드 특성 정보, 3차에는 국내외 알려진 BPFDoor 계열 모두를 탐지할 수 있는 툴의 제작방법을 6,110개 행정부처, 공공기관, 기업 등에 안내하여 피해 확산을 방지하고자 하였습니다.
한편 과기정통부는 타 통신사 및 주요 플랫폼 기업 대상으로 유사 사고가 발생할 가능성을 대비해 사건 초기부터 관련 업계와 긴밀히 대응해 왔습니다.
이를 위해 5월 3일 연휴 기간 중에도 장관이 통신 3사 및 주요 플랫폼 4개 기업의 보안 리더들과 만나 현 보안 상황을 점검하고 향후에도 철저한 점검과 대응을 당부한 바 있습니다.
또한 5월 12일부터는 통신사 및 플랫폼사 보안 점검 TF를 운영하여 타 통신사 및 플랫폼 4개 사에 대해 일 또는 주 단위로 점검 결과를 확인하고 있습니다.
이와 함께 중앙행정기관, 지자체, 공공기관은 국정원 주관으로 점검을 진행 중으로 현재까지 민간, 공공 분야 모두 신고된 피해사례는 없습니다.
1차 발표 이후 공격을 받은 정황이 있는 서버는 추가로 18대가 식별되어 현재까지 총 23대가 공격을 받은 정황이 있는 것으로 확인되었습니다.
총 23대 중 현재까지 15대는 포렌식, 로그분석 등 정밀분석을 완료하였으며 나머지 8대는 5월 말까지 분석을 완료할 예정입니다.
분석이 완료된 15대 중 개인정보 등을 임시 저장하는 2대를 확인하였습니다.
이에 조사단은 5월 18일까지 2차에 걸쳐 자료 유출 여부에 대해 추가적인 조사를 실시하고 조사단 전체회의를 5월 14일, 5월 18일 두 차례 진행하였습니다.
해당 서버는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 단말기 고유식별번호 IMEI와이름, 전화번호, 생년월일 등 다수의 개인정보가 있었습니다.
한편 침해사고 발생 후 복제폰으로 인한 피해 우려로 IMEI 유출 여부에 대해 국민적 관심이 높았었습니다.
이에 조사단은 조사 초기IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검하여 감염되지 않음을 확인하고 1차 조사 결과를 발표한 바 있습니다.
이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI가포함되고 있음을 확인하게 되었습니다.
동 과정에 조사단은 해당 서버의 저장된 파일에 총 291,831건의 IMEI가 포함된 사실을 확인하였습니다.
조사단이 2차에 걸쳐서 정밀 조사를 한 결과, 방화벽 로그기록이남아 있는 24년 12월 3일부터 25년 4월 24일간에는 자료유출이 없었습니다.
다만 최초로 해당 서버에 악성코드가 설치된 시점이 22년 6월 15일부터 로그기록이 남아 있지 않은 24년 12월 2일까지는 자료 유출 여부가 현재까지는 확인되지 않았습니다.
조사단은 개인정보 등이 저장된 문제의 서버들을 확인한 5월 11일 즉시 사업자에게 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체 확인하는 한편 이로 인한 국민 피해를 예방할 수 있는 조치를 강구하라고 요구하였습니다.
※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
