Skt 해킹 유형 상세 정리

⸻

1. 해킹 개요 및 전체 흐름
1. 초기 진입(Initial Compromise)
• 공격자는 2022년 중반경, SKT 내부망으로 연결되는 원격접속 장비(VPN, RDP 등)의제로데이(Zero-Day) 취약점을 이용해 은밀히 진입했다.
• 이때 사용된 취약점은 운영체제 패치가 미비했던 내부망 전용 서버에서 발견된 것으로, 외부 보안 감시 체계를 우회할 정도로 특수 제작된 모듈이었다.
2. 초기 백도어 설치(Backdoor Implantation)
• 진입 직후 BPFDoor 계열의 맞춤형 백도어(BPFDoor 변종 24종)와 WebCell 웹셸을 시스템에 심었다.
• 이 백도어는 평소 네트워크 트래픽 중 허용된 프로토콜에 위장되어 있어, 일반적인 IDS/IPS 탐지를 회피했다.
3. 권한 상승(Privilege Escalation) 및 내부 정찰(Lateral Movement)
• 초기 진입 계정으로 제한된 권한만 획득한 뒤, 로컬 익스플로잇(취약점 악용) 기법을 통해 HSS(Home Subscriber Server) 관리자 권한을 획득했다.
• 획득한 권한을 바탕으로 내부망 전반으로 ‘횡적 이동(Lateral Movement)’하며 타깃 서버 목록을 확대했다.
4. 데이터 수집(Data Collection) 및 압축·암호화
• HSS DB와 IMS(가입자 인증 시스템) DB에서 USIM 관련 핵심 테이블(IMSI, Ki, OPC 등) 전체를 덤프(Dump)하고, 중간 결과물을 암호화해 외부 전송에 대비했다.
• 파일 크기를 줄이기 위해 효율적인 압축 알고리즘을 사용했으며, 암호화에는 대칭키 방식을 채택해 탐지를 최대한 지연시켰다.
5. 은밀한 전송(Data Exfiltration)
• 백도어가 정상 네트워크 흐름처럼 위장해 외부 C2(Command & Control) 서버로 데이터를 분할 전송했다.
• 주요 전송 시점은 주말과 심야 시간대로, 내부 보안 모니터링 인력이 적은 시간대를 노렸다.
6. 장기 잠복 및 추가 악성코드 배포
• 일차 탈취 이후에도 탐지가 어려운 BPFDoor 변종을 꾸준히 업데이트하며 내부망에 머물렀다.
• 보안 패치가 적용된 서버에서도 동일 백도어 변종을 재설치하며 ‘재침투 재현(Persistence)’을 확보했다.

⸻

2. 공격의 주요 특징
1. 잘 교묘히 위장된 트래픽
• 백도어 통신은 HTTPS, DNS 등 합법 프로토콜에 숨겨져 있어 외부로 나가는 패킷을 일반 트래픽과 구분하기 어려웠다.
• 데이터 유출 시에도 평소에 허용된 포트(443, 53 등)를 사용해 방화벽 로그 상에서 의심 징후 탐지가 사실상 불가능했다.
2. 다양한 변종의 지속적 배포
• 동일한 BPFDoor 계열이라도 매월, 혹은 주별로 형태를 조금씩 바꿔 탐지 시그니처 우회를 시도했다.
• WebCell 웹셸 또한 운영체제 버전마다 다른 형태로 인코딩돼 있어, 시그니처 기반 탐지로는 포괄적 대응이 어려웠다.
3. 제로데이 취약점 활용
• VPN 게이트웨이, 원격 데스크톱, 내부 파일공유 서비스 등 여러 구간에서 발견된 제로데이 취약점을 적극 이용했다.
• 이들 취약점은 패치가 적용되기 전까지 수개월간 방치됐으며, 공격자는 이를 통해 추가 권한 상승을 거듭했다.
4. 장기 잠복(Long Dwell Time)
• 최초 침투 시점인 2022년 6월부터 탐지 시점인 2025년 4월까지 약 34개월에 걸친 잠복으로, 조직 전체의 보안 체계에서 지속적으로 은폐된 상태를 유지했다.
• 이 기간 동안 보안 패치, 시스템 교체, 네트워크 재구성 등이 이뤄졌음에도 탐지되지 않아, 내부 모니터링·위협 헌팅 역량의 취약점이 드러났다.
5. 핵심 인프라 집중 타깃
• 일반 사용자용 웹 서버나 CI/CD 시스템이 아닌, 통신사의 가장 중요한 인증 인프라인 HSS와 IMS를 명확히 타깃으로 삼았다.
• 이는 단순 정보 유출을 넘어 가입자 인증 무력화, 2차 피해(금융 사기·도난폰 악용) 연결을 염두에 둔 매우 치밀한 전략이었다.
6. 첨단 암호화·분할 전송
• 유출 데이터는 자체 개발한 경량 암호화 엔진으로 암호화됐으며, 전송 시 소량 분할 패킷으로 나누어 C2 서버로 전송되었다.
• 이에 따라 탐지 시스템에서는 ‘평소와 다름없는 소규모 파일 전송’으로만 인식됐고, 대규모 덤프가 외부로 유출된 사실을 알아채지 못했다.

⸻

3. 탐지 난이도 및 취약 포인트
1. 시그니처 기반 보안 솔루션의 한계
• 업계 표준 시그니처 탐지 솔루션은 이미 알려진 악성코드 패턴에만 반응하기 때문에, 매번 변종을 만들어내는 BPFDoor 변종에는 속수무책이었다.
2. 네트워크 세분화 부재
• 내부망 전 구간이 일종의 ‘평탄화(flat)’ 구조로, HSS·IMS까지 한눈에 흐르는 네트워크 구조 탓에 단일 지점 침투만으로도 전사 인프라를 장악하기 쉬웠다.
3. 정책·로그 관리 미비
• 주말·심야에 발생한 비정상 로그가 비표준 포맷으로 기록돼도, 담당 인력 이관·근무조정 미비로 확인되지 않았고, 결국 ‘분석 대상 제외’로 처리된 사례가 다수 있었다.
4. 제로 트러스트 미적용
• 내부망에 접속한 사용자는 최소 권한 원칙(Least Privilege)이 제대로 적용되지 않아, 초기 침투 계정이 관리자 권한을 지나치게 쉽게 획득할 수 있었다.
5. 위협 헌팅 부재
• 침해 탐지 체계는 자동 경고(Alert) 발령 위주로 작동했으나, 의심스러운 행동을 사람의 관점에서 수동 분석·추적하는 위협 헌팅 프로세스가 전무했다.

⸻

4. 유사 사고 예방을 위한 종합 권고사항

아래 권고사항은 SKT뿐 아니라 모든 대규모 네트워크 운영 조직이 참고해야 할 방어 심화(Defense-in-Depth) 전략입니다.

4.1 네트워크 구조 개편 및 마이크로세그멘테이션
• 서비스별 논리적·물리적 세그멘테이션: HSS, IMS, 사용자 서비스, 관리망 등을 명확히 분리하여, 침투 시 ‘옆방으로 전이’되는 것을 차단.
• 마이크로세그멘테이션: 각 서비스 컴포넌트가 최소 권한으로 통신하도록 세부 룰을 설정해, 내부망 lateral movement를 원천 차단.

4.2 제로 트러스트(Zero Trust) 보안 모델 적용
• 사용자·디바이스 인증 강화: 네트워크 접근 시 매번 다단계 인증(MFA)을 요구하고, 디바이스 상태 평가(Device Health Check)를 필수화.
• Application-Level 방화벽: 네트워크 계층만이 아닌 애플리케이션 계층으로도 요청을 검증해, WebCell 웹셸 등 비정형 공격을 효과적으로 차단.

4.3 지속적 침투 테스트 및 레드팀 운영
• 연례 APT 시뮬레이션: 전문 보안 조직이 주요 취약 구간(HSS·IMS 등)에 대해 실제 APT 공격 시나리오를 모의 수행하여 방어 역량을 검증.
• 레드팀-블루팀 훈련: 레드팀(공격자 역할)과 블루팀(수비자 역할)이 정기적으로 모의 전투를 벌여, 탐지·대응 역량을 실전처럼 강화.

4.4 고도화된 탐지·모니터링 체계 구축
• 행위 기반 탐지(Behavior Analytics): 정상 트래픽 프로파일과 실시간 비교하여 미묘한 변칙 패턴(심야 대용량 파일 접근, 비표준 API 호출 등)을 조기 경고.
• XDR(Extended Detection and Response): 엔드포인트·네트워크·클라우드를 연계한 통합 탐지·대응 플랫폼으로, 공격 전단계(침투·이동·수집·유출)를 실시간 상관분석.

4.5 운영 절차 및 로그 관리 강화
• 24×7 전담 관제 체계: 주말·심야·공휴일에도 상시 인력을 배치해, 비표준 로그·이상 알림을 즉시 검토.
• 정책 기반 로그 보존 및 자동 분석: 이상 징후 발생 시 전 구간 로그를 신속 확보·분석할 수 있는 SIEM 정책 수립.

4.6 보안 업데이트·패치 관리 철저
• 패치 자동화 도구 도입: OS·미들웨어·네트워크 장비까지 자동으로 최신 보안 업데이트를 적용, 제로데이 취약점 대응 시간을 최소화.
• 긴급 패치 절차 매뉴얼화: 취약점 공개 즉시 테스트·배포·검증을 완료하는 워크플로우를 표준화.

4.7 위협 인텔리전스 공유 및 협업
• TLP(Traffic Light Protocol) 적용: 금융권·공공기관·통신사 등 유관 기관 간 위협 정보(TTPs, IOC 등)를 권한별로 실시간 공유.
• 산·학·관 연합 포럼: 주요 분야별 보안 전문가가 모이는 정기 워크숍 개최로 최신 위협 동향과 대응 전략을 공동 연구.

4.8 사고 대응 계획(Incident Response Plan) 보완
• 사전 시나리오별 대응 매뉴얼: HSS 타깃 공격, 내부망 APT, 백도어 유포 등 구체적 시나리오에 따른 절차를 문서화.
• 실전 모의 훈련: 분기별 사이버 침해 대응 훈련(BCP 포함)을 통해 역할·책임·커뮤니케이션 체계를 숙련.

4.9 보안 인식 교육(Security Awareness Training)
• 조직 전체 교육 강화: 기초 보안 수칙부터 social engineering 방어 기법까지 전 임직원 대상 정규 교육 및 모의 피싱 테스트 실시.
• 관리자 특화 교육: 네트워크 관리자·시스템 관리자 등 핵심 보안 책임자 대상 고도화된 보안 기술·인프라 관리 교육.

⸻

5. 결론

이번 SKT USIM 정보 유출 사고는 통신 인프라의 핵심 시스템을 표적으로 삼은 고도화된 APT 사례로, 다음과 같은 교훈을 남겼다.
• 탐지·모니터링의 사각지대가 얼마나 위험한지 확인했으며
• 제로 트러스트와 세분화(segmentation) 없이는 내부망이 한 번 뚫리면 전사 위협이 될 수 있음을 증명했다.
• 장기 잠복(long dwell time) 공격은 기존 보안 솔루션만으로는 막기 어려우므로, 행위 기반 탐지와 실시간 위협 헌팅이 필수적이다.

유사 사고를 방지하려면 기술적 보강뿐 아니라, 조직 문화 차원의 보안 의식 제고와 유관 기관 간 협업이 반드시 수반되어야 한다. 단 하나의 허점만으로도 2·3차 피해가 수조 원대로 확산될 수 있음을 명심하고, 방어 심화(Defense-in-Depth) 전략을 전사적으로 실행해야 할 때이다.