Security Issue

2025 SKT 해킹 사건 정리 (Feat. BPFdoor 악성코드)

g2h 2025. 4. 29. 10:02

사건 개요

2025년 4월 18일, SK 내부 서버에서 홈 가입자 서버(HSS)로 불리는 핵심 시스템에 악성코드로 인해 SK 가입자들의 유심(USIM) 관련 정보가 유출됨
유출된 정보에는 유심 인증키(KI), 이동가입자식별번호(IMSI), 단말기고유식별번호(IMEI), 전호번호등이 포함됨
이러한 정보들은 통신망에서 사용자를 식별 및 인증을 진행하는 "디지털 신분증" 역할을 하며, 19일 밤 이상 징후를 인지 후 악송코드를 즉시 삭제하고 해킹 의심 장비를 격리 조치 후 한국 인터넷진흥원(KISA)에 사건을 신고함.

SK 대응 조치

1. KISA에 침해 사실 전달 후 개인정보보호위원회에도 내용 신고

2. 유심 무상 교체 : SK Telecom은 전국 매장에 대해 2,300만 명의 전 가입자를 대상으로 유심(USIM) 무상 교체를 실시

3. 유심보호서비스 제공 : 유심(USIM) 교체가 어려운 고객을 위해 '유심보호서비스'를 무료로 제공

4. 악성코드 즉시 삭제, 전체 시스템 전수 조사, 불법 유심 기변 및 비정상 인증 시도 차단 강화, 피해 의심 징후 발견 시 즉각적인 이용 정지 및 안내 조치 

SKT 의 미흡한 부분

  1. 예방 조치 미흡 : 뒤늦은 이상 징후 감지, 핵심 서버에 대한 접근 통제, 실시간 이상행위 탐지 체계가 미흡했다는 비판이 제기됨
  2. 초기 고객 통지 및 소통 부재 : 해킹 사실을 T월드 공지사항에 게시 하였지만, 개별 문자 혹은 이메일 통보는 누락되어 많은 고객이 언런 보도를 통해 뒤늦게 사건을 인지함
  3. 비상 대응 시나리오 부족 : 대규모 유심 교체 과정에서 재고 부족과 혼란이 발생

추가 미흡 부분

  1. 2023년 LG유플러스 해킹 이후 2년만에 대형 유출 사고가 재발되며, 업계 전반의 보안 수준 제고 노력 부족이 지적됨
  2. 민간 기업 자율에 맡겨진 통신망 보안 투자에는 한계가 존재
  3. 사고 대응 컨트롤타워 부재
  4. 개인정보 유출 통지 의무는 존재하지만, 유심 정보 같은 통신 인증정보 보호에 대한 별도 법령 부재
SK Telecom 가입자는 해킹사건 하루 만에 1,665명이 다른 통신사로 이동하는 등 이탈이 급증 

 

주요 공격 포인트

  • 내부 인프라에 대한 비인가 원격 접속 시도
  • 백도어 설치 및 명령어 실행을 통한 시스템 장악, 데이터 유출

현재 상황 (2025.04.28)

  • 공격 흔적 식별 및 긴급 차단
  • 한국인터넷진흥원(KISA) 및 관련 부처와 공조 중
  • 장기적인 내부 감시 및 추가적인 정보 탈취 가능성
  • 아직까지 대규모 개인정보 유출은 확인되지 않음
날짜 (2025년) 사건 주요 경과 및 조치사항
4월 19일 (토) 23시 40분경 SKT 내부 보안망에 비정상 접속 시도 감지 악성코드에 의한 유심 관련 정보 유출 정황 최초 확인
4월 20일 (일) 새벽까지 내부 조치 진행 (악성코드 삭제, 침해 시스템 격리 등). 오후 4시경 KISA에 침해사고 발생 신고 완료
4월 22일 (화) 오전 10시경 개인정보보호위원회에 개인정보 유출 신고 접수, SKT 뉴스룸에 공식 사과문 공지 및 언론 보도
4월 23일 (수) 이용자 불만 속출 – 해킹 사실 개별 통지 부족에 대한 비판. SKT, 이날부터 전 고객 대상 안내 문자 발송 시작 및 유심보호서비스 가입 권장 공지​, 정부, 민·관 합동조사단 구성 및 현장조사 착수
4월 25일 (금) SKT 경영진 공식 사과 발표 (유영상 대표이사 등 임원 대국민 사과). 추가 대책으로 전 고객 무료 유심 교체 지원 약속.
4월 27일 (일) 대통령 권한대행(한덕수 국무총리), 과기정통부에 SKT 조치사항 철저 점검 지시원인 규명·재발방지책 마련 주문.
4월 28일 (월) 전국 T월드 매장 2,600여 곳에서 유심 무료 교체 서비스 시작. SKT 보유 유심 약 100만 개 긴급 투입 및 추가 500만 개 확보 계획 발표

 

공격자는? (배후 추정 및 공격 그룹 연관성)

이번 해킹 사건의 공격자 정보는 현재까지 명확히 밝혀지지는 않았으며, SKT와 수사 당국히 면밀히 수사를 진행하고 있다.
SKT측은 “현재까지 이번 사건이 랜섬웨어 공격인지는 불분명하며, 알려진 어떤 해킹 조직도 자사 해킹을 자처하지 않고 있다”고 밝혔다 다만 보안 전문가들과 업계 일부 에서는 이번 공격이 고도로 전문화된 APT 공격 일 가능성을 제기하고 있다.
통신망 처럼 보안 수준이 높은 기간망을 주말 심야에 노려 은밀히 침투 하여 핵심 인증 정보를 탈취한 수법은 일반
해커 개인 이나 단순 범죄집단보다는 조직적이고 체계적인 그룹의 소행일 개연성이 높다는 분석이다.

침해 경로

초기 접근은 아직까지 밝혀지지 않았으며, 내부 네트워크에 직접 접근 가능한 위치에서 악성코드(BPFdoor) 설치 및 실행

정부의 반응?

정부 최고위층의 관심도 촉구되었다. 4월 27일 대통령 권한대행을 맡은 한덕수 국무총리는 관계 부처에
SKT의 대응조치 전반을 철저히 점검 하고 미흡한 부분은 보완하라고 지시하였다

 

핸드폰 내부 정보가 유출 되었는가?

  •  그렇지 않다. 이번 해킹은 SK Telecom의 서버에 저장된 유심(USIM) 관련 정보 유출로, 개인 휴대폰의 내장된 개인정보와는 무관하다.

유심(USIM)은 꼭 변경해야 하는가?

  • 현재 유심보호서비스에 가입하면 유심 교체와 유사한 수준의 보안이 제공된다. 하지만 추가적인 안전을 원한다면 유심 교체를 권장한다.
  • 유심보호서비스는 해당 서비스에 가입 시, 본인 인증 없이 유심 교체가 불가능하도록 제한하는 기술이다.
  • 즉, 해커가 유출된 정보를 이용해 함부로 유심을 복제하거나 교체를 막을 수 있게된다.
  • 하지만, 금융 앱을 다수 사용하거나, 휴대폰 번호 기반의 인증이 많은경우, 기업 임원, 공공기관 종사자의 경우 물리적인 유심 교체가 권장된다.

유심(USIM) 정보 유출로 인한 심 스와핑(SIM Swapping) 이란?

  • 심 스와핑은 해커가 피해자의 유심 정보를 복제하여 새로운 유심을 만든 후, 이를 통해 피해자의 전화번호로 인증을 받아 금융 계정 등을 탈취하는 공격으로 실제 유사한 사례가 존재한다.

권장 보안 요구 사항

  1. 유심보호서비스 가입 : SK Telecom 고객센터 혹은 앱을 통해 가입
  2. 유심 교체 예약 : 가까운 SK Telecom 매장에서 유심 교체 예약
  3. 본인 명의 개통 여부 확인 : 통신 3사의 명의도용 조회 서비스 이용 확인 가능
  4. 계정 보안 강화 : 주요 계정에 2단계 인증(2FA)을 설정하고, 비밀번호 변경
  5. 신용정보 모니터링 서비스 이용 : NICE 지키미, 올크레딧 등 신용정보 변동 확인 가능

APT 공격?

APT(Advanced Persistent Threat)란 “지능형 지속 위협”이라는 뜻으로,
고도의 기술과 자원을 활용해 특정 대상에 장기간 위협을 가하는 사이버 공격 을 일컫는다.
일반 해커들의 단발적 공격과 달리, APT 공격자는 명확한 목표(target)를 정해놓고 오랜 기간 동안
은밀하게 침투하여 정보를 수집하거나 시스템을 장악 한다. 이들은 보통 국가 또는 거대조직의 지원 을 받아
풍부한 자금과 인력, 첨단 해킹 기술 을 보유하고 있으며, 다양한 수법을 총동원해 표적망에
지속적으로 상주(persistence)하면서 탐지를 피해가며 작전 을 수행한다​

 

고도화된 수법, 지속성, 명확한 목표, 은밀성, 광범위한 피해 여러 면에서 APT 공격의 특성을 일부 보여준다.

하지만 아직까지는 전형적인 APT 공격이었다고 단정할 수는 없다. 현재까지는 그 어떠한 구체적인 포렌식 증거가 공개되지 않았으며, 일부에서는 내부자 소행이나 관리 소홀에 의한 사고 가능성도 배제하지 않고 조사 중이다.

 

APT 공격의 위험성은 이번 SKT 사례를 통해 재차 부각되었다. APT는 한 번 성공하면 막대한 피해를 주지만, 탐지하기 어렵고 대응 기간이 길어 피해가 눈덩이처럼 불어나는 경향이 있다. 또한 국가 기간망이 APT에 뚫릴 경우 국민 생활과 안보까지 위협할 수 있다. 결국 APT 대응 능력 강화는 기업은 물론 국가 차원에서 필수 과제로 대두되었다.

악성코드 (BPFdoor) ?

BPFdoor는 Linux 운영체제 기반 시스템을 주로 겨냥한 패시브 백도어(Passive Backdoor)다.

해당 악성 코드는 글로벌 회계법인 PwC의 2021년 위협 보고서를 통해 존재가 알려졌으며, 보고서에 따르면 중국 기반의 APT 그룹인 "레드멘션"(Red Menshen)이 수년간 중동과 아시아 지역을 대상으로 BPFdoor를 활용해 왔다. 

이후 2022년에 BPFdoor의 소스코드가 유출되어 공개됨에 따라, 현재는 중국 해커뿐만 아니라 다른 공격자들도 이 악성코드를 이용할 수 있는 상황이다. 

 

악성코드명에서 볼 수 있는 BPF는 Berkeley Packet Filter의 약자로, 시스템 내에서 네트워크 패킷을 가로채고 처리할 수 있는 기능이다. APT 그룹의 은밀성을 위해 사용되며, 주로 감지 회피를 최우선 목표로 설계된다.

 

해당 악성코드(BPFdoor)는 파일 시스템 상에서는 흔적을 거의 남기지 않으며, 프로세스 이름을 변경하여 위장한다. 일반적인 C2 프레임워크, RAT, 악성코드와 달리 포트 바인딩을 하지 않는다. 즉, netstat, ss와 같은 명령어로는 식별이 되지 않으며, 패킷 필터링 레벨에서 직접 패킷을 수선하므로 박화벽을 우회한다. 또한 TCP, UDP, ICMP  등 다양한 프로토콜에 숨어 트리거를 수신하며, 

악성코드가 실행된 희생자 PC에서는 특정 트리거가 포함된 응답을 받지 않으면, 실행되지 않고 특정 트리거가 포함된 요청을 받으면 리눅스 커널의 BPF 필터를 직접 조사하여 패킷을 검사한다. 이후 요구하는 값이 일치할 경우 Reverse Shell 생성 혹은 명령이 실행된다. 또한 RC4 기반의 암호화 통신을 사용한다.

 

즉, BPFdoor 트리거 패킷은 "특정 Magic 값 + Command + 암호화된 명령어" 조합으로 되어, 포트와 프로토콜에 상관없이 전송할 수 있따. 이로인해 방화벽,IDS,EDR 과 같은 일반적인 모니터링 체계에는 탐지가 매운 어려운 구조로

일반적인 백도어는 원격 제어를 위해 고정 포트를 열거나 C2(Command & Control) 서버와의 주기적인 통신을 수반하지만, BPFdoor는 포트를 열지 않고도 외부 명령을 수신할 수 있다.

 

리눅스 커널의 BPF 기능을 악용하여 특수한 패킷을 필터링하고 해당 패킷이 수신될 때만 동작을 트리거함으로써, 평상시에는 백도어가 네트워크상 드러나지 않는 상태로 잠복하다 특정 트리거가 나타나면 작동을 시작한다.

이 때문에 방화벽이나 포트 스캔으로는 쉽게 탐지되지 않거나 네트워크 보안 장비나 로그에 흔적이 거의 남기지 않아 장기간 은밀하게 활동할 수 있다.

 

IOC (침해 지표)

  1. Magic Packet 식별자
    • PFdoor는 패킷 내부에 TCP(0x5293), UDP(0x7255)와 같은 특정 4바이트 시그니처 값을 포함, 이는 수정이 가능하므로 네트워크에서 비정상적인 특정 바이트 패턴을 탐지하는 포괄적인 분석 필요
  2. 이상한 프로세스 이름/경로
    • /dev/shm, /tmp 경로에 정체 불명의 실행 파일이 존재하는 경우 주의
    • /dev/shm/kdmtmpflush (BPFdoor 관련), 시스템 프로세스 및 실행 파일 변화를 정기 모니터링 필요
  3. iptables 로그 및 규칙 변화
    • BPFdoor는 bind shell 모드에서 iptables 규칙을 추가했다가 삭제하는 동작을 수행
  4. BPF(Filter)
    • 시스템 내 BPF 활용 여부를 정기적으로 점검 및 분석
  5. 공격자 인프라 IOC
    • MD5 
      • 7af0e479e50cf2f1c8256f7431b7e0c3
      • 8f05657f0bd8f4eb60fba59cc94fe189
      • a8c54d5b028714be5fdf363957ab8de2
      • 635354ca75e2063c604341cfa7c00372
      • e086fabda4078355c40543d6eafeec91
      • ab5880df0334f56488b37d88771445b5
    • SHA-1
      • 6227cb77cb4ab1d066eebf14e825dbc0a0a7f1e9
      • 65e4d507b1de3a1e4820e4c81808fdfd7e238e10
      • 9bb8977cd5fc7be484286be8124154ab8a608d96
      • 16f94f0df6003f1566b2108f55e247f60a316185
      • 1db21dbf41de5de3686195b839e74dc56d542974
      • 28765121730d419e8656fb8d618b2068408fe5ae
    • SHA-256 
      • 591198c234416c6ccbcea6967963ca2ca0f17050be7eed1602198308d9127c78
      • 93f4262fce8c6b4f8e239c35a0679fbbbb722141b95a5f2af53a2bcafe4edd1c
      • 1925e3cd8a1b0bba0d297830636cdb9ebf002698c8fa71e0063581204f4e8345
      • 07a0006381758443a91daa210bf6707ab1f0232284ccc712e247dc8d350a52e4
      • 39d8d80a727ffab6e08ae2b9551f7251a652f4d4edfe5df21d0e2684d042268f
      • 14b1dea80394fb413fff084b0becd1904fd6077189d1ff73208d8d749529e00b
    • 파일 경로 : /dev/shm/kdmtmpflush, /var/run/haldrund.pid

 

BPFdoor 자체는 어떤 소프트웨어 취약점을 직접 공격하는 악성코드가 아니라, 이미 침투에 성공한 공격자가 심는 백도어 도구로 BPFdoor와 직접적으로 연관된 CVE 식별자는 존재하지 않는다. 즉, BPFdoor는 OS의 합법적 기능(BPF)을 악용하는 것이지, 그 기능의 보안 허점을 뚫는 것은 아니므로 BPFdoor를 취약점 익스플로잇으로 보지는 않는다.

마지막으로

이번 사건은 APT 수준의 고도화된 기술이 사용되었으며, 서버 침투 후 장기간  은닉, 탐지 회피가 이루어 졌을것으로 판단된다.

이번 공격은 피해 발생 후 수개월간 외부 징후가 없었으며, 무차별적 공격이 아닌 SK Telecom 내부 데이터를 노렸으며, 침해 후 단기 탈취가 아닌, 장기적 정보수집, 단일 취약점만 이용한 것이 아닌 복합 루트 침투 가능성을 제기할 수 있다.

 

즉, 은닉성, 표적성, 지속성, 복학 공격 가능성 등을 두어 해당 공격은 APT 공격으로 판단할 수 있다.

 

이번 사건을 계기로 기업의 보안 인식 부재가 명확하게 나타났다.

SK Telecom을 포함한 다수의 기업은 "내부 보안 시스템 투자"를 비용 절감 대상으로 간주하는 등의 투자 부족이 이어지고 있으며, 

사이버 위협을 과소평가하고 있다. 이후 이러한 비용 절감으로 인해 SIEM/EDR 운영 부실로 이어져 침투 이후 이상 징후를 빠르게 탐지하지못하게 된다. 또한 사고 발생 초기 혼란, 고객 대상 정확한 가이드라인 부재와 다양한 기업에서 보안 부서는 여전히 '지원부서' 인식이 강하다 이는 경영진 보고 권한 부족으로 볼 수 있다.

 

이러한 문제는 기술적인 문제도 뺴놓을 수는 없겠지만, 근본적으로는 경영진의 인식 실패가 가장 큰 원인이라고 생각된다.

이러한 일들이 합쳐져 큰 보안사고가 일어났으며 결국, 수백 수천만 가입자의 개인정보가 유출 되었고, 기업 신뢰성은 급락하였다. 현재 APT 공격은 기업의 크기를 막론하고 모든 기업의 위협적인 현실이고, 기존 보안체계는 늘 침투를 가정하고 설계되어야한다. 또한 보안 부서는 조력자의 역할이 아닌 생존을 위한 필수 부서이다.

 

정리하자면, 이용자는 보안 위험성에 둔감했고, 기업은 안일한 대비와 미흡한 소통으로 신뢰를 잃었으며, 정부는 선제적 감독과 체계적 위기대응에서 아쉬움을 남겼다. 사이버 보안은 개인-기업-정부가 함께 노력해야만 강화될 수 있음을 이번 사태는 보여주었다

 

본 글은 작성자의 주관적 해석과 견해를 포함하고 있으며, 정보 수집 및 정리 과정에서 사실과 다소 차이가 있을 수 있습니다. 내용상의 오류나 해석상의 오차가 존재할 수 있음을  안내드립니다. 참고용으로 활용해주시기 바라며, 중요한 사항에 대해서는 추가적인 검증이 필요할 수 있습니다.

 

 

 

 

 

 

 

참고자료
- https://rewterz.com/threat-advisory/sophisticated-bpfdoor-malware-detected-targeting-linux-systems-active-iocs?utm_source=chatgpt.com
- https://news.sktelecom.com/211646
- https://www.yna.co.kr/view/AKR20250422072300017#:~:text=%EC%9D%BC%EA%B0%81%EC%97%90%EC%84%9C%EB%8A%94%20%EA%B3%B5%EA%B2%A9%EC%9E%90%EA%B0%80%20%EA%B3%BC%EA%B1%B0%20%EC%9E%A6%EC%9D%80%20%ED%95%B4%ED%82%B9,%EB%B6%81%ED%95%9C%EC%9D%98%20%EC%86%8C%ED%96%89%EC%9D%BC%20%EA%B0%80%EB%8A%A5%EC%84%B1%EB%8F%84%20%EC%A0%9C%EA%B8%B0%EB%90%98%EA%B3%A0%20%EC%9E%88%EB%8B%A4
- https://www.yna.co.kr/amp/view/AKR20250428125051530
- https://news.zum.com/articles/97904197/sk%ED%85%94%EB%A0%88%EC%BD%A4-%EC%B4%88%EC%9C%A0%EC%9D%98-%ED%95%B4%ED%82%B9-%EC%82%AC%ED%83%9C%EC%97%90-%EC%86%8C%EB%B9%84%EC%9E%90-%EB%B6%80%EA%B8%80%EB%B6%80%EA%B8%80-%EC%9E%AC%EA%B3%84-talk-talk
- https://www.bleepingcomputer.com/news/security/sk-telecom-warns-customer-usim-data-exposed-in-malware-attack/#:~:text=and%20isolated%20the%20equipment%20suspected,reads%20the%20security%20notice
- https://www.securityweek.com/korean-telco-giant-sk-telecom-hacked/#:~:text=Telecom%20%20companies%20are%20also,US%20%20and%20%2043
저작자표시