국내 대표 이동통신사업자 가운데 하나인 SK텔레콤(SKT)에서 고객 유심(USIM) 정보 유출사고 발생
2. 타임라인
2025년 4월 18일 - 오후 06시 09분 장비와 장비 사이 비정상적인 데이터이동을 네트워크 인프라센터에서 가장 빠르게 인지, 인프라운용본부가 처음 조사에 돌입
2025년 4월 18일 - 오후 11시 20분 과금분석장비(WCDR)에서 먼저 악성코드 및 파일 삭제 흔적 확인(해킹 공격 받은 사실 내부적으로 확인)
2025년 4월 19일 - 오전 01시 40분 해당 장비에 대해 격리 조치를 시킨 뒤 침입 경로 및 유출 데이터 분석 착수 - 오후 11시 40분 SKT 성수 사옥에 배치된 음성 서비스를 위한 가입자 인증 시스템인 음성인증장비(HSS) 5대 중 3대에서 대규모 데이터 유출 정황 확인, 해커가 통신망 장비에 악성코드를 설치해 유심(USIM) 관련 일부 정보의 파일을 외부로 전송 확인 (9.7 기가바이트(GB) 분량)
2025년 4월 20일 - 오후 4시 46분 SKT가 한국인터넷진흥원(KISA)에 침해 사고 신고. 사고 원인은 '불상의(알 수 없는) 해커로 추정되는 불상의 자에 의해 사내 장비에 악성코드를 설치해 당사 내 시스템의 파일을 유출한 의심 정황이 파악됨'으로 적시
2025년 4월 22일 - 오전 10시 SKT가 개인정보보호위원회에 보고 및 경찰 수사 요청. 공식 발표로 사건 공개.
2025년 4월 23일 - 서울지방경찰청 사이버수사대가 수사에 착수. - 이후 정부 기관(과학기술정보통신부, 한국인터넷진흥원(KISA), 개인정보보호위원회)이 현장 조사 시작.
2025년 4월 24일 - 금감원이 금융사에 '이동통신사 유심(USIM) 해킹사고 관련 유의사항' 배포
2025년 4월 25일 - 오전 11시 SKT, 고객 정보 보호조치 강화 설명회에서 대국민 사과문 발표 및 28일 오전부터 SKT 가입자 2300만명과 SKT의 통신망을 이용하는 알뜰폰 가입자 187만명을 합쳐 2500만명에 달하는 모든 가입자를 대상으로 유심(USIM) 무상 교체 실시 발표 - 오후 일부 보험사, SKT 인증 중단 및 전면 중단 예정 공지 - 오후 한국인터넷진흥원(KISA), '최근 해킹공격에 악용된 악성코드, IP 등 위협정보 공유 및 주의 안내' 보안공지를 통해 SKT 해킹 악성파일 공개
2025년 4월 27일 - 대통령 권한대행 국무총리, SKT 해킹 사고에 “조치 적절성 점검” 긴급지시 - SKT, 유심(USIM) 호보서비스 가입 권고, 피해 발생 시 100% 책임지겠다는 입장발표
2025년 4월 28일 - SKT, 유심(USIM) 무상교체에 돌입. 유심(USIM) 재고 부족에 "유심(USIM) 초기화 병행" 발표. 5월 중순부터 SW로 유심(USIM) 데이터 초기화
2025년 4월 30일 - SKT 대표이사, 유심(USIM) 해킹 사태 국회 청문회 출석 - 경찰, 'SKT 유심(USIM) 정보 해킹사건' 전담수사팀 편성 - 금융당국, 'SKT 해킹' 비상대응본부 구성
2025년 5월 1일 - 과학기술정보통신부, "유심(USIM) 부족 해소시까지 SKT 신규가입 중단" 행정지도 - 국회, 개인정보 유출 기업과 기관의 사후 책임을 강화하는 ‘개인정보 보호법’ 일부개정법률안 발의 - 국민의힘, SKT 소비자 권익 및 개인정보보호를 위한 긴급 간담회에서 국정원 전문인력 투입 검토
2025년 5월 2일 - SKT, 긴급 기자회견...모든 이용자 유심(USIM) 보호서비스 자동 가입 - 정부, 'SKT 유출' 2차 피해 방지위해 개인정보 불법유통 모니터링 - 개인정보보호위원회, "SKT 가입자 별로 유출 사실을 즉각 통지" 요구 및 시스템 전수조사 추진 - 방통위, 스미싱 주의보 발령 및 6~8일 SKT 해킹관련 본인확인 안정성 특별점검
2025년 5월 3일 - SKT, 최고 단계 비상경영체제 돌입 - 국회, ‘정보유출’ 통신사 귀책시 번호이동 위약금 면제 법안 발의 - 한국인터넷진흥원(KISA), SKT 내부 서버에서 'BPF도어' 악성코드 변종 8종 추가 발견
2025년 5월 4일 - 국회 입법조사처, "SKT 법적 제한 없이 해킹 피해자 위약금 자발 면제 가능"
2025년 5월 5일 - SKT '데이터 해킹'에 8000억 증발…SKT 시가총액 KT에 밀렸다
2025년 5월 6일 - 금융당국, FDS강화권고·오픈뱅킹 보안조치 - 유통·물류업계, SKT 유심(USIM) 해킹 여파에 '보안강화' 총력 - 민관합동조사단, SKT 악성코드 유입시점·추가 악성코드 시점·위치·VPN 취약점 등 조사 - 과학기술정보통신부, 통신사 및 플랫폼 기업 특별 점검 - 국회, SKT사태에 '개인정보 유출 기업 책임강화' 법안 발의 - SKT, 로밍 이용자 외 알뜰폰 포함 2411만명 유심(USIM) 보호서비스 사실상 100% 자동가입 완료
2025년 5월 7일 - 국회 입법조사처, "SKT 위약금 면제하려면 법 개정해야” - 민관합동조사단, 추가 발견 악성코드 8종...기존 공격 서버 3대에서 발견 - SKT, 암호화 안하는게 표준이라던 유심(USIM) 정보...KT·LG유플러스는 유심(USIM) 인증키를 암호화해 보관 중인 것으로 확인
2025년 5월 8일 - SKT, 취약점으로 의심됐던 이반티의 VPN(가상사설망) 장비를 지난달부터 사용하지 않았던 것으로 파악 - 개인정보보호위원회, "SKT 정보 유출 경로가 된 주요 시스템에 보안 프로그램(백신) 미설치 확인…보호조치 미흡" - 개인정보보호위원회, "SKT 알뜰폰 포함 SKT 전체 이용자 2564만 명에 대해 9일까지 우선 확인된 사항 중심으로 1차 유출통지키로" - 국회 과방위, SKT 해킹 관련 단독 청문회 - SKT 유심(USIM) 해킹 혼란 틈탄 악성앱 피싱…'정상앱(AnyDesk, 알집, 피해구제국, SK쉴더스)사칭' 설치 정황 포착 - LGU+, "SKT 해킹 후 모든 서버 전수검사 완료 및 대응체계 마련하여 모니터링" - 과학기술정보통신부, SKT 해킹과 관련해 피해가 우려되는 서버 3만 3000대 3차례 조사 후 네번째 조사 중 - 롯데·G마켓 등 유통업계, SKT 본인 인증 및 소액 결제 중단 - 과학기술정보통신부, 사이버위협 대응태세 강화 협조요청
2025년 5월 9일 -과학기술정보통신부, SKT 해킹 후 6천개 기업과 각 부처에 악성코드 점검 요청 -과학기술정보통신부, "SKT 해킹 3대 서버 외 추가 유출 흔적 확인 안 돼" -과학기술정보통신부,“SKT 침해사고 2차 조사결과, 6월말 발표” - SKT, 2564만명에 유심 해킹 관련 개인정보 유출 가능성 통지 - 경찰, ‘SKT 해킹 사고’ 유영상 대표 수사 착수…“배임 등 혐의”
3. 요약
2025년 4월 18일, SK텔레콤(SKT)은 외부로의 장비와 장비사이 이상 트래픽 증가를 감지하였습니다. 하며 잠재적 사이버 위협을 인지했습니다. 이는 APT(Advanced Persistent Threat)의 목표달성(데이터 유출)단계로 초기 징후로 보입니다.
※ APT 공격은 대체로 아래와 같이 7단계에 걸쳐 체계적으로 수행됩니다. 초기침투 > 거점확보 > 권한상승 > 내부정찰 > 내부이동 > 지속실행 > 목표달성
4월 19일 오후 11시에 과금분석장비(WCDR)에서 악성코드 감염 및 음성인증장비(HSS: Home Subscriber Server)에서 유심(USIM) 정보 유출이 확인되었습니다.
유출된 데이터는 9.7기가바이트(가입자당 유심(USIM) 관련 정보는 100~300 킬로바이트(Kbyte) 수준)에 이르고 전화번호, 유심(USIM) 인증 코드(Ki), 이동가입자식별번호(IMSI,International Mobile Subscriber Identity), 단말기고유식별번호(IMEI,International Mobile Equipment Identity)를 포함하며, 이름, 주민등록번호 등 민감한 정보는 유출되지 않았습니다.
현재까지 2차 피해는 보고되지 않았습니다.으나, 신원 도용, 복제폰 제조, SIM 스와핑 등의 위험이 존재합니다.
SKT는 사고 발견 즉시 악성 코드를 삭제하고 장비를 격리했으며, 4월 20일 한국인터넷진흥원(KISA)에 신고하고, 4월 22일 개인정보보호위원회에 보고하면서 경찰 수사를 요청했습니다.
서울지방경찰청 사이버수사대는 4월 23일부터 수사에 착수했으며, 해커의 신원과 침투 경로를 조사 중입니다. SKT는 고객 보호를 위해 무료 유심(USIM) 보호 서비스 가입을 권고하고, 불법 유심(USIM) 기기 변경 및 비정상 인증 시도를 실시간으로 차단하는 시스템(FDS,Fraud Detection System) 정책을 최고 수준으로 격상해 운영하고 있습니다.
그러나 18일 밤 해킹 공격을 받은 사실을 최초로 확인했음에도 관계기관에 '사고 인지 24시간 이내' 신고해야 한다는 규정 위반 논란이 발생했습니다.
※ 정보통신망법은 정보통신서비스 제공자가 침해사고가 발생한 것을 알게 된 때로부터 24시간 이내에 침해사고의 발생 일시, 원인 및 피해 내용 등을 과학기술정보통신부장관이나 한국인터넷진흥원(KISA)에 신고해야 한다고 규정하고 있습니다. ※개인정보보호법은 1천명 이상의 민감정보 또는 고유식별정보가 유출됐을 경우 72시간(2일)이내 개인정보보호위원회나 한국인터넷진흥원(KISA)에 신고해야 한다고 규정하고 있습니다.
4. 공격 정보
피해 대상: 3종, 5대 서버(2025.04.25)
해킹 원인: 통상 가입자 정보를 관리하는 네트워크는 방화벽을 두고 외부 인터넷프로토콜(IP)에서 접속이 불가능한 구조로 설계되어 이론상 해킹이 불가하지만, 불가피하게 외부 인터넷망과 연결된 과금분석장비(WCDR)를 통해 음성인증장비(HSS)로 침투하여 유심(USIM) 관련 데이터가 유출되었습니다.
유출 정보: 가입자 전화번호, 이동가입자식별번호(IMSI) 등 유심(USIM) 복제에 활용될 수 있는 4종과 유심(USIM) 정보 처리 등에 필요한 SKT 관리용 정보 21종 등(여기에 단말기고유식별번호(IMEI) 정보는 없었다는 게 과학기술정보통신부의 설명)입니다. SKT는 이번에 해킹을 당한 음성인증장비(HSS) 외 단말장치 등록기(EIR: Equipment Identity Register, 단말기의 정보를 저장하는 장비)에서 단말기고유식별번호(IMEI)를 관리하고 있습니다. 단말기고유식별번호(IMEI)는 제조사가 단말기를 제작할 때 부여하는 15자리 숫자로 된 번호이며 단말기 제조사와 모델, 일련번호 등의 정보를 담고 있습니다.
※ 유심(USIM·가입자식별장치) 관련 정보: SKT 가입자 정보를 분산한 서버는 총 14대이며, 기본적으로 전화번호, 유심(USIM) 인증키(Ki), 이동가입자식별번호(IMSI), 유심(USIM) 카드 식별자(ICCID), 서비스 가입 정보가 들어가 있습니다. 회사에 따라 단말기고유식별번호(IMEI)가 들어가기도 합니다. 통신사는 이동가입자식별번호(IMSI) 와 단말기고유식별번호(IMEI) 두 가지 정보를 결합해서 가입자를 인증하고 과금합니다. 유심 정보를 알면 가입자의 요금 정보나 로밍 기록을 확인할 수 있습니다. 다만 이용자의 금융 계좌 비밀번호나 공동인증서 비밀번호 등은 유심(USIM)에 저장되지 않습니다.
침투 방식: 이반티(Ivanti) VPN 장비 취약점(CVE-2025-22457)을 통해 이뤄졌을 가능성이 보안업계에서 제기되고 있습니다(한국인터넷 진흥원 보안공지(2025.04.04): Ivanti 제품 보안 업데이트 권고). CVSS Base Score가 10점 만점에 9.8점으로 시스템에 치명적인 영향을 미칠 수 있기 때문에 Pulse Connect Secure 9.X의 경우 24년 12월 31일 EoL(End Of Life, 제품의 수명이 끝남)되었음에도 패치를 제공한 것을 볼 수 있습니다. - 아래는 OSINT(Open Source Intelligence, 공개적으로 접근 가능한 정보원을 활용하여 정보를 수집하고 분석하는 과정) 결과입니다. 2025.05.07 기준 무료 OSINT로 취약버전 사용여부 확인은 어렵지만 이반티(Ivanti) VPN 장비 사용여부는 찾을 수 있었습니다. 그러나 history 정보를 제공하는 유료 OSINT에서 4월 16일 기준 EoL 버전 정보를 확인할 수 있었습니다. - OSINT 정보에 따르면 Ivanti VPN 장비의 버전은 9.1.14.25049(9.1R14.5)이며 한국인터넷 진흥원 보안공지(2024.02.15): Ivanti 제품 보안 업데이트 권고는 패치, 한국인터넷 진흥원 보안공지(2024.04.04):Ivanti 제품 보안 업데이트 권고는 미패치, 한국인터넷 진흥원 보안공지(2025.01.13):Ivanti 제품 보안 업데이트 권고는 EoL로 패치 지원 종료 안내, 한국인터넷 진흥원 보안공지(2025.04.04):Ivanti 제품 보안 업데이트 권고는 EoL 대상도 긴급 보안 업데이트를 제공하였으나 미패치로 보입니다.
※개인적으로 보안장비 로그인 웹 페이지 title 정보를 통해 장비정보가 노출되지 않도록 이를 제거하거나 수정하면 좋겠다는 생각을 해봅니다.
해외 보안업체 분석에 따르면 CVE-2025-22457 취약점은 당시 Ivanti가 이 문제에 대해 제대로 이해하지 못했기 때문에 저위험 서비스 거부(DoS) 취약점으로 간주되었으며 제품 버그로 식별되었습니다. 그리고 2025년 2월 11일 출시된 Ivanti Connect Secure 버전 22.7R2.6에서 보안 취약점이 아닌 제품 버그로 패치되었습니다. 그러나 4월 3일, Ivanti는 일부 고객 환경에서 지원되는 Ivanti Connect Secure 및 지원 종료된 Pulse Connect Secure 어플라이언스에서 원격 코드 실행을 위한 알려진 악용 사례를 공개적으로 인정했습니다.
CVE-2025-22457 익스플로잇(exploit) 은 2025년 3월 중순에 발견되었습니다. 중국과 연계된 위협 행위자가 2025년 2월 복잡성에도 불구하고패치를 리버스 엔지니어링하여 취약점을 발견하고, 원격 코드 실행에 성공적으로 취약점을 악용한 것으로 드러났습니다.(CVE-2025-22457 PoC, Github)
※익스플로잇(exploit): 시스템이나 애플리케이션의 취약점을 이용하는 코드나 프로그램으로, 공격자가 시스템을 제어하거나 데이터를 탈취하는데 사용됩니다. 쉽게 말해, 프로그램의 버그나 보안 취약점을 이용해 공격을 가하는 방법이라고 할 수 있습니다.
또한 애플리케이션 취약점을 통한 침투 시나리오도 거론되고 있으며 한국인터넷진흥원(KISA)이 SAP의 '넷위버'에서 파일 업로드 취약점(CVE-2025-31324)을 발견했다고 합니다(한국인터넷 진흥원 보안공지(2025.04.28): SAP 제품 보안 업데이트 권고). 그리고 폐쇄망이라고하여 리눅스 커널 업데이트를 진행하지 않았다면 권한상승 취약점(CVE-2025-21756)이 존재할 것으로 보여집니다(한국인터넷 진흥원 보안공지(2025.04.30): 리눅스 커널 보안 업데이트 권고). 악성 코드가 내부 시스템에 삽입된 것으로 확인되었으나, 정확한 침투 경로는 조사 중입니다. 예를 들어, VPN 취약점이나 기타 취약점이 활용되었을 가능성이 제기되었으나, 구체적으로 확인되지 않았습니다.
※SKT는 2000년부터 SAP의 ERP를 도입, 현재 S/4HANA라는 ERP 제품을 프라이빗 클라우드 환경에서 사용하고 있습니다.
공격 기술: 리눅스 기반 시스템에 침투해 BPF를 악용하여 보안 장비의 탐지를 우회하고, 외부 명령을 수신해 민감 정보를 유출하는 고도화된 BPFDoor 백도어 악성코드를 통한 데이터 유출이 주요 수법으로 확인되었습니다.으나, 구체적으로 확인되지 않았습니다.
침투 시점: 침투 시점은 명확하지 않으나 3월 중순에 익스플로잇(exploit)이 발견된 것과 3월 중순에 SKT 내 이상 트래픽 있었다는 제보에 따르면 3월경으로 보여집니다. 며, APT 특성상 장기간 잠복했을 가능성이 제기되었으나, 구체적으로 확인되지 않았습니다.
5. SKT의 대응 조치
5.1 대응조치
악성 코드 삭제 및 장비 격리.
4월 20일 한국인터넷진흥원(KISA) 신고, 4월 22일 개인정보보호위원회 보고 및 경찰 수사 요청.
무료 USIM 보호 서비스 가입 권고.
불법 USIM 기기 변경 및 비정상 인증 시도 차단 강화.
피해 의심 징후 발견 시 즉각적인 이용 정지 및 고객 안내.
휴대전화가 꺼져있더라도 비정상 인증 시도 차단 시스템(FDS)을 통해 불법 유심(USIM) 기기 변경 시도 최대한 차단.
전체 시스템 전수 조사
기관 및 경찰과 사고 분석 협력.
가입자 전원에게 문자 알림 발송 결정.
전고객 유심(USIM) 무상교체, 기교체 고객은 비용 환급
5월 중순부터 SW로 유심(USIM) 데이터 초기화 실시
5.2 문제점
알림 지연: 사고 발생 후 45시간 지연으로 사이버 침해사고 발생을 알게된 때부 24시간 이내 신고 의무 위반
고객 불만: 유출 사실 미통지 및 T-World 사이트 접속 지연으로 가입자 불만 증가
주요정보통신기반시설 미지정: 해킹 피해를 입은 SKT의 과금분석장비(WCDR) , 음성인증장비(HSS), 가입자 인증키 저장 시스템, 유심(USIM) 관련 핵심 서버 등은 '국가·사회적으로 보호가 필요한 주요정보통신기반시설'로 지정되지 않은 상태. 현재 KT와 LG유플러스도 동일하게 관련 서버가 포함돼 있지 않은 상황.
축소 신고 : 신고당시 해킹 '의심정황'으로 축소 신고
한국인터넷진흥원(KISA) 지원거부 : 신고당시 한국인터넷진흥원(KISA)의 피해지원서비스·후속조치 지원 등 일체의 기술적 지원을 거부한 것으로 파악
6. 이슈
보안 투자 감소: SKT는 2025년 해킹 사태 이전에 사이버보안 예산을 감축한 것으로 나타났습니다. SKT는 2년 동안 사이버보안 지출을 4% 줄였으며, 이는 경쟁사 KT와 LG유플러스에 비해 낮은 투자 수준입니다. 이 감소는 보안 인프라 강화 부족으로 이어졌을 가능성이 있으며, 전문가들은 예산 삭감이 보안 취약점을 간접적으로 악화시켰을 수 있다고 우려합니다.
한국인터넷진흥원(KISA) 무마의혹: SKT가 20일 신고서를 접수할 때 해킹 인지 시점을 18일 오후 11시 20분으로 제출하려고 했지만, 한국인터넷진흥원(KISA)에서 20일 오후 3시 30분으로 신고하도록 안내한 사실이 밝혀졌습니다. 제출된 신고서에 따르면 해킹을 인지한지 1시간 16분 만에 신고했기 때문에 법 위반으로 인한 과태로 3000만원을 납부할 필요가 없습니다. 한국인터넷진흥원(KISA) 측은 SKT의 해킹 신고를 접수하는 과정에서 회사 보안 책임자가 신고하자고 결정한 시점을 사고 인지 시점으로 보고 사전 접수 실무자가 시간을 정정했다며 해명했습니다.
국정원 전문인력 투입 검토: 과학기술정보통신부는 지난 23일 최우혁 정보보호네트워크정책관을 단장으로 한국인터넷진흥원(KISA)과 보안업계 민간 전문가 등으로 구성된 민관합동조사단을 꾸리고 사고 원인 파악과 피해 확산 방지책 마련에 돌입했습니다. 조사단은 당초 11명에서 5명을 추가로 투입해 16여명으로 구성됐습니다. 정보통신망법에 따라 국정원은 직접 조사에 참여할 수 없고, 조사된 정보를 공유받을 수는 있습니다. 당초 국정원은 SKT 조사에 기술 지원을 하겠다고 밝혔지만, 과학기술정보통신부에서 법에 따라 거절했습니다. 국가정보원법(국가정보원의 설치 및 운영에 관한 법률)에 따르면 국정원은 ① 국가안전보장에 관련되는 정보 및 보안업무 ② 국외 정보 및 방첩 업무 ③ 테러, 사이버 위협 등 국가안보에 대한 위협 대응 ④ 그 밖에 대통령령으로 정하는 직무가 가능해, ‘국가안보 차원에서의 사이버 위협’에 대응하는 업무만 할 수 있기 때문입니다. 이에 따라 개별 민간기업의 해킹 사건은 국가안보 사안으로 판단되지 않는 한 직접 조사하거나 개입할 권한이 없습니다.
해킹 한달전 비정상 트래픽 감지: SKT 내부 인증서버에선 3월12일부터 20일 사이 비정상 트래픽이 발생했으나 조치를 취하지 않았다는 제보가 있었다고합니다. SKT는 "해당 기간 이상 징후가 없었던 것으로 확인됐다"는 입장을 전했다고합니다.
DigitalOcean 클라우드 서비스 제공 업체 소유로 165.232.32[.]0 ~ 165.232.191[.]255 대역을 사용하고 있으며 악성행위와 관련된 이력이 많습니다.
2. 악성코드 해시값 및 파일정보
hpasmmld: hpasmcli와 유사하게 정상적인 HP 서버 관리 서비스로 위장한 것으로 보입니다. - size : 2,265KB - SHA256 : c7f693f7f85b01a8c0e561bd369845f40bff423b0743c7aa0f4c323d9133b5d4 - MD5 : a47d96ffe446a431a46a3ea3d1ab4d6e
smartadm: smartctl과 유사하게 시스템 관리 도구로 위장한 것으로 보입니다. - size : 2,067KB - SHA256 :3f6f108db37d18519f47c5e4182e5e33cc795564f286ae770aa03372133d15c4 - MD5 : 227fa46cf2a4517aa1870a011c79eb54 - behavior HTTP requests: hxxp://169.254.169[.]254/latest/meta-data/ami-id는 정상적인 경우 AWS(아마존 웹 서비스) EC2 인스턴스에서 자신의 메타데이터에 접근하기 위해 사용하는 표준 주소입니다. 하지만 BPFdoor 악성코드로 인해 발생했다면, 그 목적은 정상적인 메타데이터 조회가 아닌, 시스템 정찰 및 공격 준비 단계일 가능성이 높습니다.
hald-addon-volume: hald-addon-acpi와 유사하게 데몬(HAL)의 구성 요소로 위장한 것으로 보입니다. - size : 2,071KB - SHA256 : 95fd8a70c4b18a9a669fec6eb82dac0ba6a9236ac42a5ecde270330b66f51595 - MD5 : f4ae0f1204e25a17b2adbbab838097bd
dbus-srv-bin.txt: dbus-daemon과 유사하게 D-Bus와 관련된 파일로 위장한 것으로 보입니다. - size : 34KB - SHA256 :aa779e83ff5271d3f2d270eaed16751a109eb722fca61465d86317e03bbf49e4 - MD5 : 714165b06a462c9ed3d145bc56054566 - behavior HTTP requests: hxxp://169.254.169[.]254/latest/meta-data/ami-id는 정상적인 경우 AWS(아마존 웹 서비스) EC2 인스턴스에서 자신의 메타데이터에 접근하기 위해 사용하는 표준 주소입니다. 하지만 BPFdoor 악성코드로 인해 발생했다면, 그 목적은 정상적인 메타데이터 조회가 아닌, 시스템 정찰 및 공격 준비 단계일 가능성이 높습니다. -behavior IP Traffic:185.125.188[.]59(AbuseDBIP,CriminalIP)는 우분투(Ubnutu) 리눅스 OS를 개발하고 배포하는 영국의 소프트웨어 회사인 Canonical IP 이며, api.snapcraft[.]io는 Snap 패키지를 관리하고 배포하는 Snapcraft 서비스에서 사용되는 API 서버의 주소입니다.
※ BPFDoor는 쉽게 재컴파일되어 해시가 자주 변경될 수 있기 때문에 해시 기반 탐지는 신뢰도가 낮으며, EDR 장비를 활용한 행위기반 탐지가 필요하겠습니다.(해시 IoCs) ※이번 위협정보는 AWS Linux에 BPFDoor 악성코드가 발견돼 공지된 것으로 보여집니다. SKT는 AWS와 전략 파트너쉽을 맺었습니다.
dbus-srv: dbus-daemon과 유사하게 위장한 것으로 보입니다. - size : 34KB - SHA1 : 67a3a1f8338262cd9c948c6e55a22e7d9070ca6c - SHA256 :925ec4e617adc81d6fcee60876f6b878e0313a11f25526179716a90c3b743173 - MD5 : 3c54d788de1bf6bd2e7bc7af39270540 - behavior HTTP requests: hxxp://169.254.169[.]254/latest/meta-data/ami-id는 정상적인 경우 AWS(아마존 웹 서비스) EC2 인스턴스에서 자신의 메타데이터에 접근하기 위해 사용하는 표준 주소입니다. 하지만 BPFdoor 악성코드로 인해 발생했다면, 그 목적은 정상적인 메타데이터 조회가 아닌, 시스템 정찰 및 공격 준비 단계일 가능성이 높습니다.
inode262394 - size : 28KB - SHA1 : 0f12ab32bac3f4db543f702d58368f20b6f5d324 - SHA256 :29564c19a15b06dd5be2a73d7543288f5b4e9e6668bbd5e48d3093fb6ddf1fdb - MD5 : fbe4d008a79f09c2d46b0bcb1ba926b3 -behavior IP Traffic: 151.101.66[.]49(AbuseDBIP,CriminalIP), 151.101.130[.]49 (AbuseDBIP,CriminalIP) 는 Fastly CDN(Content Delivery Network, 콘텐츠 전송 네트워크) IP이며, CDN은 지리적으로 분산된 서버 네트워크로, 웹 콘텐츠를 사용자와 가까운 서버에서 제공하여 전송 속도를 높이는 기술입니다. cdn.fwupd[.]org는 펌웨어 업데이트 데이터를 제공하는 CDN 주소입니다
1. BPFDoor 악성코드 개요 1.1 BPFDoor 리눅스 및 솔라리스 시스템을 타깃으로 하는 스텔스형 백도어 악성코드로, 2017년경부터 약 5년간 탐지되지 않았습니다. 2021년 PwC 연구진에 의해 발견되었으며, 중국 기반 APT 그룹 Red Menshen(Trend Micro에서는 Earth Bluecrow로 추적)에 연관된 것으로 알려져 있습니다. 주요 특징은 다음과 같습니다:
Berkeley Packet Filter(BPF) 활용: C&C 서버에 먼저 접속할 필요가 없고, BPF를 사용하여 네트워크 패킷을 모니터링하고 매직 바이트 시퀀스(예: 0x7255, 0x5293)를 사용해 특정 "매직 패킷"을 받으면 활성화됩니다. 이는 기존 포트(예: 22, 80, 443)를 활용해 추가 포트를 열지 않고도 작동 가능해 탐지가 어렵습니다.
스텔스 기법: 프로세스 이름을 일반적인 리눅스 데몬(예: dbus-daemon, hald-addon-acpi 등)으로 위장하고, /dev/shm 경로에 자신을 복사하여 메모리 기반으로 동작하며, 파일을 삭제하고 타임스탬프를 조작(예: 14년 전으로 설정)해 포렌식 분석을 방해합니다.
리버스쉘(Reverse Shell): 공격자가 원격으로 시스템에 접근할 수 있는 암호화된 리버스쉘을 생성하며, 42391~43390 포트 범위에서 쉘을 제공합니다.
다양한 프로토콜 지원: iptables를 조작하여 공격자의 접근을 허용하며 TCP, UDP, ICMP를 통해 C2 서버 없이도 명령을 수신할 수 있습니다.
최근 변종: 2023년 변종은 정적 라이브러리 암호화, 리버스쉘 통신, 하드코딩된 명령 제거로 탐지를 더욱 어렵게 만들었습니다.
BPFDoor는 주로 통신, 정부, 물류, 교육, 금융, 소매 산업을 타깃으로 하며, 한국, 홍콩, 미얀마, 말레이시아, 이집트 등에서 활동이 관찰되었습니다.
1.2 SKT 해킹 사태와 BPFDoor
트렌드마이크로의 2025년 4월 14일 보고서: BPFDoor는 한국, 홍콩, 미얀마, 말레이시아, 이집트의 통신, 금융, 소매 산업을 타깃으로 한 공격에 사용되었습니다. 원문에서는 SKT를 명시적으로 언급하지 않고 한국 통신사에서의 악성코드 트래픽만 언급했습니다. SKT의 HSS 서버에서 발견된 악성 코드는 BPFDoor일 가능성이 있지만, 이는 아직 추정 단계이며 공식 확인이 필요합니다. SKT의 과금분석장비(WCDR) 에서 발견된 악성 코드는 BPFDoor입니다. BPFDoor는 리눅스 기반 그리고 장비와 장비 사이 9.7기가바이트(GB)에 이르는 데이터를 이동하여 음성인증장비(HSS)에서 유심(USIM) 관련 데이터를 유출하였습니다. 유출할 수 있는 능력을 갖추고 있으며, 이는 SKT 사건의 특성과 일치할 수 있습니다.
2. BPFDoor 사례 BPFDoor는 2017년경부터 활동이 시작된 것으로 추정되며, 2021년 PwC에 의해 처음 공개되었습니다. 2024년과 2025년의 주요 사례는 다음과 같습니다:
2024년 한국 및 동남아시아 공격:
트렌드마이크로에 따르면, BPFDoor는 한국(2024년 7월, 12월), 홍콩(2024년 1월), 미얀마(2024년 12월), 말레이시아, 이집트의 통신, 금융, 소매 산업을 타깃으로 했습니다 .
공격자는 /tmp/zabbix_agent.log, /bin/vmtoolsdsrv, /etc/sysconfig/rhn/rhnsd.conf와 같은 경로를 사용해 악성코드를 은폐했습니다.
새로운 컨트롤러가 발견되었으며, 이는 리버스쉘을 통해 네트워크 내 측면 이동을 가능하게 했습니다.
2021~2022년 중동 및 아시아 공격:
Red Menshen은 중동과 아시아의 통신, 정부, 물류, 교육 부문을 타깃으로 BPFDoor를 사용했습니다. 피해는 미국, 한국, 홍콩, 터키, 인도, 베트남, 미얀마 등에서 확인되었습니다.
공격은 주로 월요일~금요일 01:00~10:00 UTC에 이루어져, 조직적인 작업 패턴을 보였습니다.
솔라리스 시스템 공격:
2019년 솔라리스 시스템을 타깃으로 한 변종이 2022년까지 탐지되지 않았으며, CVE-2019-3010 취약점을 악용한 것으로 확인되었습니다.
/var/run/haldrund.pid 또는 /dev/shm/kdmtmpflush 파일 존재 여부를 확인합니다.
iptables의 비정상적인 리디렉션 규칙을 점검합니다.
4.2 대응 방안
패치 관리: CVE-2019-3010과 같은 알려진 취약점을 패치합니다.
BPF 분석: Radare2와 같은 도구를 사용해 BPF 바이트코드를 분석합니다.
보안 솔루션: Trend Micro Vision One과 같은 AI 기반 플랫폼을 활용해 실시간 위협 탐지를 수행합니다.
자동화 스캔: Sandfly와 같은 도구로 패킷 소켓을 사용하는 프로세스를 자동 스캔합니다.
기 탐지 BPFDoor 악성코드: ss -0pb 명령어로 알려 매직 바이트 시퀀스 값을 찾거나 매직 바이트 시퀀스 값으로 열린 포트를 Github에 공개된 스캐너로 스캔하면 탐지가 가능합니다(스캐너 테스트 완료, 2025.04.25). 알려진 악성 프로세스명 검색. 알려진 Snort Rules 생성.
변종 BPFDoor 악성코드: 관리자 권한으로 ss -0pb 명령어를 실행하여 BPF 필터가 조회되는 전체 프로세스에 대한 점검. 재컴파일, 매직 바이트 시퀀스 변경 시 스캔 무의미, Snort Rules 무의미, EDR 솔루션이 없다면 시스템에서 lsof 명령어로 외부통신 프로세스 직접 점검(이것도 점검시점에 외부 통신이 없다면 무의미) 및 의심스러운 프로세스 이름을 하나하나 점검하는 것 외 대응 방안 없음. - 아래 점검스크립트를 만들어서 관리자 권한으로 실행해보시기 바랍니다.
#!/bin/bash
sudo ss -0pb | while read -r line; do if [[ $line =~ ^(p_raw|p_dgr|udp|tcp) ]]; then socket_line="$line" continue fi if [[ $line =~ bpf\ filter ]] && [[ $line =~ $(printf '%d|%d|%d|%d|%d' 0x7255 0x5293 0x39393939 0x4430cd9f 0x5e142766) ]]; then if [[ $socket_line =~ users: ]]; then pid=$(echo "$socket_line" | grep -o 'pid=[0-9]*' | cut -d'=' -f2) if [ -n "$pid" ] && [ -d "/proc/$pid" ]; then filepath=$(sudo readlink -f "/proc/$pid/exe" 2>/dev/null || echo "Not found") cmdline=$(sudo cat "/proc/$pid/cmdline" 2>/dev/null | tr '\0' ' ' || echo "Not found") echo "PID: $pid, File: $cmdline, Path: $filepath" fi fi fi done
bpf filter를 사용하는 프로세스가 존재하고, 파일이 삭제되지 않았다면 아래처럼 보일겁니다.
1. HSS 서버란? HSS(Home Subscriber Server)는 이동통신망에서 가입자 데이터를 관리하고 인증 및 권한 부여를 수행하는 중앙 집중형 데이터베이스입니다. 4G(LTE), 5G, IMS(IP Multimedia Subsystem) 네트워크에서 사용되며, 2G/3G 네트워크의 HLR(Home Location Register)와 AuC(Authentication Center) 기능을 통합합니다. 주요 기능은 다음과 같습니다:
가입자 데이터 저장: IMSI, MSISDN, IMPU(IMS Public Identity), IMPI(IMS Private Identity), 서비스 프로필, 서비스 트리거 등.
인증 및 권한 관리: 가입자 인증(EAP-AKA), 권한 부여, 세션 관리.
위치 정보 관리: 가입자의 현재 위치 등록 및 업데이트.
과금 데이터 처리: 서비스 사용에 따른 과금 정보 제공.
IMS 및 EPC 연동: IMS 네트워크의 AS(Application Server), CSCF(Call Session Control Function), 4G/5G 네트워크의 MME(Mobility Management Entity)와 협력.
HSS는 통신망의 핵심 인프라로, 보안이 무너지면 네트워크 전체에 심각한 위협을 초래할 수 있습니다.
2. HSS 서버 아키텍처 HSS는 중앙 집중형 데이터베이스로 설계되어 모든 가입자 정보를 단일 노드에 저장합니다. 주요 특징은 다음과 같습니다:
데이터 저장소: 가입자 데이터를 저장하며, Nokia의 One-NDS(One Network Directory Server) 또는 SDL(Shared Data Layer) 같은 솔루션을 통해 분산형 저장소로 확장 가능.
다중 HSS 지원: SLF(Subscriber Location Function)를 통해 가입자 정보를 적절한 HSS로 매핑, 대규모 네트워크 확장성 제공.
IMS 네트워크 통합: AS, CSCF 등 IMS 엔티티와 연동하여 음성 및 데이터 세션 처리.
MME 연동: 4G/5G 네트워크에서 MME와 협력하여 인증 및 세션 관리.
HSS는 2G/3G의 HLR/AuC를 대체하며, 4G/5G 네트워크의 복잡성을 지원하기 위해 향상된 기능과 확장성을 제공합니다.
3. HSS 서버 통신 방식 HSS는 다양한 네트워크 엔티티와 통신하며, 주로 Diameter 프로토콜을 사용합니다. Diameter는 RFC3588에 정의된 AAA(Authentication, Authorization, Accounting) 프로토콜로, RADIUS의 후속입니다.
3.1 주요 인터페이스 및 프로토콜
Diameter 프로토콜:
Sh 인터페이스: 3GPP 벤더 ID 10415, 애플리케이션 ID 16777217. 명령어는 UDR/UDA(데이터 조회), PUR/PUA(프로필 업데이트), SNR/SNA(알림 구독), PNR(알림 푸시) 등.
Cx 인터페이스: S-CSCF가 HSS에서 가입자 프로필을 조회하거나 등록 요청을 처리.
동작 모드: 데이터 처리(Pull/Update) 및 구독/알림(Subscriptions/Notifications).
기타 프로토콜:
SIP: IMS 네트워크의 주요 시그널링 프로토콜로, Gm, Mw, ISC 인터페이스에서 사용.
H.248: Mn, Mp, P1 인터페이스에서 사용.
HTTP: Sr, Ut 인터페이스에서 데이터 교환에 활용.
3.2 통신 취약점 이동통신망은 Diameter 프로토콜 등을 통해 HSS와 MME, AS 간 통신을 수행합니다. 이러한 프로토콜은 암호화 부족이나 인증 메커니즘의 약점으로 인해 보안 취약점을 가질 수 있습니다.
4. HSS 서버 인증 방식 HSS는 가입자 인증 및 권한 부여를 담당하며, LTE 및 IMS 네트워크에서 다음과 같은 인증 메커니즘을 사용합니다: 4.1 EAP-AKA 인증 과정:
UE(사용자 장비)가 네트워크에 연결 시, MME가 HSS에 인증 요청을 전송.
HSS는 USIM에 저장된 키를 사용하여 인증 벡터를 생성, MME에 전달.
M1ME와 UE 간 AKA(Authentication and Key Agreement) 알고리즘을 통해 상호 인증 수행.
특징: 4G/5G 네트워크에서 표준 인증 방식으로, USIM 카드 기반 보안 제공.
4.2 Diameter 기반 AAA 과정:
Sh 인터페이스에서 AS의 권한을 확인하기 위해 Permission List(Sh-Pull, Sh-Update, Sh-SubNotif)를 사용.
하나투어 개인정보 유출 사건, 특정 업체 솔루션이 해킹 접점으로 악용되어 악성코드 SI 업체, 금융권 등 다른 곳에서도 유사 변형 계속
2. 내용
기사내용
하나투어 개인정보 유출사건에서 특정 업체 솔루션이 해킹 공격에 저점 역할을 한 것
해당 악성코드는 2015년 북한 해커조직이 방산업체 컨퍼런스인 '서울ADEX' 참가업체를 노린 악상코드는 물론 대기업인 S그룹과 H그룹 계열사 해킹 사건에 사용된 악성코드와도 매우 유사함
해당 악성코드는 XXX자산운용, XX은행과같은 금융권에서도 발견됐으며, 다른 기업에서도 잇따라 발견되어 연쇄 해킹 사고의 가능성이 있음
발견된 악성코드는 SI업체의 고객사로 알려진 특정 IP 대역과 통신함, 이 IP는 IDC 사업을 하고 있는 SI업체가 재임대한 곳으로 특정 쇼핑몰이며, KT 회선만 이용함. 해당 쇼핑몰 홈페이지가 악성코드와 통신하는 C&C(명령제어) 서버로 악용된 만큰 해당 쇼핑몰서버가 해킹된 것으로 추정
개인정보 유출사고르 일이킨 해킹 공격의 접점이 덕터소프트 넷클라이언트 제품이고, 해당 솔루션에서 발견된 취약점으로 PMS(패치관리시스템)의 취약점이 있으며, 이 취약점은 패치 완료됨. ※ 닥터소프트 넷클라이언트 : 자산관리(DMS모듈 + HSM모듈), 패치관리 시스템(PMS), 실시간 관리(IPM 모듈) 기능이 있음.
미국 국토안보부와 FBI 분석에 의해 라자루스 해킹그룹이 사용하는 RAT 툴인 'FALLCHILL' 관련된 정보 확인
FALLCHILL 요약 - 2016년 이후 항공 우주, 통신 및 금융 산업을 대상으로 FALLCHILL 멀웨어를 사용하고 있을 가능성이 큼 - 멀웨어는 공격자가 듀얼 프록시를 통해 명령 및 제어(C2) 서버에서 피해자의 시스템으로 실행할 수 있는 여러 명령이 포함 된 완전한 기능의 RAT
FALLCHILL 정보수집 리스트 - 운영체제(OS) 버전 정보 - 프로세스 정보 - 시스템 이름 - 로컬 IP 주소 정보 - 고유 생성 ID 및 미디어 액세스 제어(MAC) 주소
미국 국토 안보부와 FBI 분석에 의해 라자루스 해킹그룹이 사용하는 RAT툴인 'VOLGMER'관련 정보 확인
VOLGMER 요약 - 2013년 이후로 HIDDEN COBRA 그룹은 Volgmer 멀웨어를 사용하여 정부, 금융, 자동차 및 미디어 산업을 대상으로 악성행위 수행 - TCP 포트 8080 또는 8088 을 통해 명령 및 제어(C2) 서버로 다시 연결하고 일부 페이로드는 통신을 난독화하기 위해 SSL(Secure Socker Layer) 암호화를 구현
북한 추정 사이버공격으로 추측되는 공격이 한글문서의 자료연결 기능을 악용해 악성파일로 만들어 이메일로 유포
MS오피스 프로그램의 DDE 기능을 악용하여 공격을 시도했던 동일 공격자인 북한 추정의 해커가 워드 문서에 이어 한글 문서인 HWP 파일에 OLE 기능을 악용
한글문서에 OLE 기능을 악용해 정보수집용 악성코드9VBScript)를 넣어 이후 '자료연결' 대상에 해당 스크립트의 경로(임시폴더)를 상대 경로 방식으로 지정 ※ 자료연결 : 한글에서 설명을 추가하고 참고자료를 지정하여 하이퍼리으를 연결하는 정상기능. 연결할 수 있는 자료의 종류에는 한 문서, 웹 주소, 전자우편 주소, 외부 어플리케이션 문서 등이 있음
사용자가 한글 문서를 열람하면 삽입된 악성 스크립트는 임시폴더에 생성되며, 자료연결이 설정된 본문을 클릭할 경우 해당 스크립트가 실행되어 동작. 동작한 악성스크립트는 특정 경로에 악성코드를 생성하고 실행
