1. 개요

  • 신생 랜섬웨어 조직 코인베이스카르텔이 2025년 9월 중순 SK텔레콤의 소스코드를 탈취했다고 주장하며 다크웹 사이트에 해당 내용을 게시했습니다. 
  • 코인베이스카르텔은 9월 16일 BreachForums 등 해킹 마켓플레이스에 SK텔레콤을 공식 피해자로 등록했으며, 10월 14일에는 "이번 주 전체 소스코드 공개(FULL SOURCE DISCLOSURE THIS WEEK)"라는 공지를 다크웹 사이트에 올리며 협상을 요구했습니다. 
  • 10월 29일에는 총 5개의 압축파일(.tar.zst)을 다운로드할 수 있는 링크와 함께 비밀번호 링크를 게시했으며, "전체 소스코드가 포함되어 있다"고 주장했습니다.

 
2. 피해범위

  • 코인베이스카르텔은 SK텔레콤의 내부 프로젝트 소스코드, 빌드 구성(build configurations), Dockerfile, 그리고 노출된 AWS 액세스 키가 포함된 데이터를 탈취했다고 주장했습니다.
  • 공격자들은 약 19.6 MB 규모의 SK텔레콤 데이터를 보유하고 있다고 발표했으며, 파이썬(.PY) 확장자를 가진 여러 파일이 포함된 압축 파일로 샘플 제공 가능하다고 명시했습니다.

 
3. 유출항목
 - 코인베이스카르텔에 따르면 탈취된 데이터는 다음을 포함한다.

  • 프로젝트 소스코드
  • 빌드 구성 파일(build configurations)
  • Docker 파일(Dockerfiles)
  • 노출된 AWS 액세스 키

 
4. 원인

  • 사이버보안 연구 기관 Cybernews의 조사에 따르면 공격자들은 직원의 Bitbucket 계정을 탈취하여 시스템에 접근했습니다. 
  • Bitbucket은 Atlassian이 소유한 Git 저장소 관리 서비스로, 팀이 중앙 집중식 클라우드 기반 위치에서 코드를 빌드, 테스트, 배포할 수 있습니다. 코
  • 인베이스카르텔의 공격 벡터로는 소스코드의 노출되거나 하드코딩된 자격증명, 유출된 저장소 접근 키(AWS, Bitbucket, GitHub), 내부자 보조 접근 확인, 그리고 내부 도구 및 저장소를 노출시키는 취약한 분할(poor segmentation)이 포함됩니다.

 
5. 대응

  • SK텔레콤은 코인베이스카르텔의 주장에 대해 즉각 반박했습니다.
  • SK텔레콤은 지난 9월 15일 "스캐터드 랩서스$ 헌터스"라는 다른 조직이 유출 데이터 판매를 주장했을 때도 해당 주장이 허위라고 밝혔으며, 제시된 샘플 데이터, 웹사이트 캡처 화면, FTP 화면 등을 분석한 결과 SK텔레콤에 존재하지 않는 페이지임을 확인했다고 발표했습니다.
  • SK텔레콤은 9월 16일 한국인터넷진흥원(KISA)과 관계기관에 해당 사실을 신고했습니다.
  • 코인베이스카르텔이 10월 14일 추가로 국내 통신사 소스코드와 프로젝트 파일을 탈취했다고 주장했을 때, 해당 데이터는 과거 유출된 데이터를 재업로드한 것으로 밝혀졌습니다.
  • SK텔레콤은 Bitbucket 계정 관리 등 보안 강화 조치를 취했습니다.

 
6. 문제점

  • 코인베이스카르텔이 실제로 SK텔레콤의 소스코드를 탈취했는지는 미지수 상태입니다.
  • 지난 9월 15일 "스캐터드 랩서스$ 헌터스 5.0"이라고 주장한 같은 조직이 SK텔레콤 고객 데이터 판매를 주장했을 때 허위로 확인되었고, 이 그룹 내에서도 사칭범과 진정한 조직 간의 구분이 모호했습니다.
  • 10월 14일의 주장도 과거 유출 데이터의 재활용이었습니다.
  • 코인베이스카르텔은 2025년 9월 처음 식별된 신생 랜섬웨어 조직으로, 조직 식별 이후 이번 SK텔레콤 주장까지 총 26건의 공격 시도를 기록했지만 실제 침해가 확인된 사례는 아직 발견되지 않았습니다.
  • 보안 커뮤니티에서는 코인베이스카르텔 사이트에 등재된 많은 피해자 이름이 다른 랜섬웨어 그룹이 이전에 주장한 사건과 중복되며, 이미 탈취된 데이터를 재판매하는 가능성을 제기했습니다.

 
7. 기타
 - 진행사항

  • 2025.10.14 "FULL SOURCE DISCLOSURE THIS WEEK"라는 협박 메시지 게시
  • 2025.10.29 압축파일을 다운로드할 수 있는 5개의 링크와 함께 샘플소스코드 공개

 
 - 공개된 소스코드 분석결과: 2009년 2월부터 2024년 3월 티맵서비스관련 로그 확인

 
 - 티맵서비스 주체 변경내역

  • 2002.02 SK텔레콤에서 네이트드라이브 정식 서비스 출시
  • 2007.07 SK텔레콤에서 서비스명을 티맵(T map)으로 브랜드 변경
  • 2010.04 SK플래닛으로 서비스이관
  • 2016.04 SK텔레콤으로 서비스복귀
  • 2021.01 티맵모빌리티로 독립 분사

 
 

저작자표시 비영리 동일조건 (새창열림)

'IT > News' 카테고리의 다른 글

2025.02.22 현대오토에버 아메리카 Hyundai AutoEver America 데이터 유출 사건  (0) 2025.11.06
2025.10.27 티머니 모빌리티 남부터미널 티켓 발매기 랜섬웨어 공격 요약  (0) 2025.11.03
2025.10.30 IT 보안 기업 에이플넷 블랙샤란탁(Blackshrantac) 랜섬웨어 피해 요약  (0) 2025.10.31
2025.07.?? 인천시 인천도시공사 문서 유출 요약  (0) 2025.10.30
2025.06.?? 인천시 민선8기 3주년 시민소통 간담회 참석자 명단 유출 요약  (0) 2025.10.30

+ Recent posts

티스토리툴바