SKT 해킹, 웹셸서 비롯됐나…“임시서버 보안조치 강화하겠다”

실시간
뉴스

통신*방송

SKT 해킹, 웹셸서 비롯됐나…“임시서버 보안조치 강화하겠다”

디지털데일리 발행일 2025-05-19 15:32:33

강소현 기자

URL복사

“장비 성능과 트레이드해야 하는 부분…임계치 고민해볼 것”

류정환 SK텔레콤 네트워크인프라센터장<사진>은 19일 오후 서울 중구 삼화타워에서 진행된 SK텔레콤 해킹 사고 관련 일일브리핑에서 발언하고 있다.

[디지털데일리 강소현기자] SK텔레콤에서 최근 발생한 사이버침해사고와 관련, 임시서버에 대한 보안조치를 강화하겠다고 밝혔다

류정환 SK텔레콤 네트워크인프라센터장<사진>은 19일 오후 서울 중구 삼화타워에서 진행된 SK텔레콤 해킹 사고 관련 일일브리핑에서 ‘웹셸이 임시서버를 경유지로 이용하면서 사고가 확대된 가능성이 있어보인다’라는 질의에 대해 “보안 부문에서 미흡했던 점에 대해 살펴보고 있다”며 이 같이 밝혔다.

같은날 오전 발표된 민간합동조사단(이하 조사단) 조사에선 악성코드가 최초 설치된 시점은 2022년 6월로, 이번 사고가 BPF도어(BPFDoor)계열 외 외웹셸과 연관됐을 가능성이 제기됐다. 웹셀은 임시서버의 취약성을 이용한 악성코드다. 프로그램이 업로드되어 원격에서 서버를 제어하는 방식이다.

이동근 KISA 디지털위협대응본부장은 “웹셸이 최초 감염 시점하고 연관되어 있는 부분이 있다”라며 “최초로 웹셸이 설치되고 그 이후 BPF도어(BPFDoor) 악성코드가 설치된 순서”라고 설명했다.

이에 대해 류정환 본부장은 “최초 생성 날짜에 의문 있을 수 있다. 조작 여부 가능성이 있다”라면서도 “통신망에서 앤드포인트탐지·대응(EDR)이라는 것은 장비의 성능과 트레이드가 이뤄져야하는 부분이지만 이번 사고로 부족했던 부분에 대한 아쉬움이 있고, 임계치에 대해 다시 살펴보고자 한다”고 말했다.

한편, 이번 조사에서 지난달 29일 1차 발표 이후 공격을 받은 정황이 있는 서버가 추가로 18대 식별되어 누적 감염서버는 총 23대로 집계됐다. 추가 감염서버는 통합고객인증 서버와 연동된 서버들이었다. 조사단은 해당 서버의 저장된 파일에 총 29만1831건의 IMEI가 포함된 사실을 확인했으며, 기록이 남아있는 5개월(2024년12월3일∼2025년4월24일) 동안은 자료유출이 없었다고 밝혔다.

문제는 로그기록이 남아있지 않은 기간이다. 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(2022년6월15일∼2024년12월2일)의 자료 유출 여부는 현재까지 확인되지 않았다. 즉, 해당 기간 IMEI 유출 가능성을 배제할 수 없는 것이다.

김희섭 SK텔레콤 PR센터장은 “5개월 기록이 남아있는 동안 유출되지 않은 것은 확인됐다”라며 “정부는 로드 데이터를 기반으로 하기에 시각의 차이가 다를 수 있지만, 5개월 전까지의 기록은 없기 때문에 확인될 수 없다는 것이지, 가능성을 말씀하신 것은 아니다. (IMEI 유출은) 확인되지 않았다”고 밝혔다.