SK텔레콤 침해사고 최종 조사결과 발표 상세 내용

아래 내용은 7. 4. 발표 내용을 요약한 것입니다.

1. 조사 개요 및 배경

  • 조사 원칙: 국민께 큰 불편과 불안을 초래한 만큼, 엄정하고 철저한 조사와 투명한 공개를 원칙으로 민관합동조사단을 운영했습니다.
  • 사고 인지 및 신고: SK텔레콤은 2025년 4월 18일 23시 20분에 침해사고를 인지하고, 4월 20일 16시 46분에 한국인터넷진흥원(KISA)에 신고했습니다. 이는 정보통신망법상 ‘인지 후 24시간 이내 신고’ 규정을 위반한 것으로, 3천만원 이하의 과태료 부과 대상입니다.
  • 조사 방식:
    • 조사 대상: SK텔레콤 전체 서버 42,605대
    • 조사 기간: 2025년 4월 23일 ~ 6월 27일
    • 조사 배경: ①국내 1위 통신사 사고, ②유심정보 유출에 대한 국민적 우려, ③악성코드(BPFDoor)의 높은 은닉성을 고려하여 전례 없는 강도 높은 전수 조사를 6차례에 걸쳐 진행했습니다.

2. 감염 현황 및 정보 유출 규모

  • 감염 서버 및 악성코드: 공격받은 서버는 총 28대이며, 포렌식 분석 결과 BPFDoor 27종, 타이니쉘 3종 등 총 33종의 악성코드를 확인했습니다. 확인된 악성코드 정보는 백신사, 경찰청, 국정원 등에 공유하여 피해 확산 방지에 활용했습니다.
  • 유출 정보 및 규모:
    • 유출 정보: 전화번호, 가입자 식별번호(IMSI) 등 25종의 유심정보
    • 유출 규모: 총 9.82GB, IMSI 기준 약 2,696만 건
  • 기타 정보 유출 가능성:
    • 단말기 식별번호(IMEI), 개인정보, 통신기록(CDR) 등이 평문으로 저장된 서버 3대를 발견했습니다.
    • 방화벽 로그 기록이 남아있는 기간에는 자료 유출 정황이 없었으나, 로그 기록이 없는 기간에 대해서는 유출 여부를 확인할 수 없었습니다.

3. 사고 원인 분석 (공격의 3단계)

공격자의 행위는 초기 침투 → 추가 거점 확보 → 정보 유출의 3단계로 분석되었습니다.

  1. 초기 침투 (2021년 8월 ~)
    • ‘21.8.6’: 공격자는 외부 인터넷에 연결된 시스템 관리 서버(A)에 접속하여 원격제어 악성코드(CrossC2)를 설치했습니다.
    • 계정정보 탈취: 당시 서버 A에는 다른 시스템 관리 서버들의 계정(ID, PW)이 평문으로 저장되어 있었고, 공격자는 이를 탈취했습니다.
    • 코어망 침투: 탈취한 계정정보를 이용해 시스템 관리 서버(B)에 접속, 이곳에 평문으로 저장된 코어망 음성통화인증(HSS) 관리서버의 계정정보를 추가로 확보했습니다.
    • ‘21.12.24’: HSS 관리서버에 접속하여 HSS 서버에 악성코드 BPFDoor를 설치했습니다.
  2. 추가 거점 확보 (2022년 6월 ~)
    • 공격자는 시스템 관리망을 통해 고객 관리망 내 서버에도 접속하여 웹쉘, BPFDoor 등 추가 악성코드를 설치했습니다.
  3. 정보 유출 (2025년 4월 18일)
    • 공격자는 초기 침투 과정에서 확보한 장기간 미변경된 계정정보를 활용하여, ‘23.11.30부터 ‘25.4.21까지 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치했습니다.
    • ‘25.4.18’: 최종적으로 HSS 서버 3곳에 저장되어 있던 유심정보를 외부 인터넷 연결 서버(C)를 통해 유출했습니다.

4. SK텔레콤의 주요 문제점 및 법령 위반

  1. 계정정보 관리 부실: 서버 로그인 ID와 비밀번호를 암호화하지 않고 평문으로 저장하여 공격의 결정적인 빌미를 제공했습니다.
  2. 과거 침해사고 대응 미흡:
    • ‘22.2.23’: 특정 서버의 비정상 재부팅을 조사하는 과정에서 악성코드 감염 사실을 인지했음에도 정보통신망법에 따른 신고 의무를 이행하지 않았습니다. (3천만원 이하 과태료 부과 대상)
    • 당시 점검 과정에서 BPFDoor에 이미 감염되어 있던 HSS 관리서버의 비정상 로그인 시도를 발견했으나, 로그 기록 6개 중 1개만 확인하는 부실한 점검으로 공격자의 접속 기록을 놓쳤습니다. 이는 더 큰 피해를 막을 수 있었던 기회를 놓친 것입니다.
  3. 주요 정보 암호화 조치 미흡: 유심 복제에 악용될 수 있는 핵심 정보인 유심 인증키(Ki) 값을 암호화하지 않고 저장했습니다. 이는 세계이동통신사업자협회(GSMA)의 권고를 따르지 않은 것이며, 다른 국내 통신사들은 암호화하여 저장하고 있었습니다.
  4. 정보통신망법 등 법령 위반 사항:
    • 신고 의무 위반: ①’25.4월 사고 지연 신고, ②’22.2월 사고 미신고에 대해 각각 과태료를 부과할 예정입니다.
    • 자료보전 명령 위반: 정부가 요청한 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치 후 제출했습니다. 이는 자료보전 명령 위반으로, 수사기관에 수사를 의뢰할 예정입니다.
  5. 기본적인 정보보호 체계 미흡:
    • 보안 관리: 자체 보안 점검 시 웹쉘과 같은 기본적인 위협 탐지를 누락했습니다.
    • 공급망 보안: 협력업체 소프트웨어를 면밀히 점검하지 않아 악성코드가 포함된 SW가 내부 서버 88대에 설치되었습니다.
    • 정보보호 거버넌스: 정보보호최고책임자(CISO)가 전체 자산의 57%만 담당하는 등 전사적 통제에 한계가 있었습니다.
    • 기타: 방화벽 로그를 규정(6개월)보다 짧은 4개월만 보관했고, 타사 대비 정보보호 인력 및 투자 규모가 부족했습니다.

5. 재발방지 대책 및 향후 계획

  • SKT에 대한 요구사항:
    • 비밀번호 암호화 및 다중인증 도입 등 계정 관리 강화
    • 법령에 따른 신고 의무 준수 및 철저한 원인 분석
    • 주요 정보(Ki 값 등) 암호화 저장
    • 보안 솔루션 확대 및 분기별 1회 이상 전수 점검
    • CISO를 CEO 직속으로 강화하여 전사적 권한 부여
    • 정보보호 인력 및 투자를 타사 이상 수준으로 확대
  • 향후 계획: 7월까지 SK텔레콤으로부터 이행계획을 제출받아 연말까지 이행 여부를 점검하고, 미흡 시 시정조치를 명령할 계획입니다.

6. 위약금 면제 규정 검토 결과

  • 검토 배경: SKT 이용약관상 ‘회사의 귀책 사유’로 해지 시 위약금을 면제한다는 규정이 이번 사고에 적용되는지 검토했습니다.
  • 법률 자문 결과: 조사 결과를 바탕으로 5개 법률 자문기관에 의뢰한 결과, 대부분(4곳) “SK텔레콤의 과실이 명백하고, 유심정보 유출은 ‘안전한 통신서비스 제공’이라는 계약의 주된 의무를 위반한 것이므로 위약금 면제가 가능하다”는 의견을 제시했습니다.
  • 정부의 최종 판단:
    1. SK텔레콤의 과실 인정: 계정 관리 부실, 법령 미준수 등 사업자로서의 주의의무를 다하지 않은 명백한 과실이 발견되었습니다.
    2. 계약상 주된 의무 위반 인정: 안전한 통신 서비스 제공은 계약의 핵심이며, 그 필수 요소인 유심정보를 보호하지 못한 것은 주된 의무를 위반한 것입니다.
  • 결론: 이번 침해사고는 SK텔레콤 이용약관상 ‘회사의 귀책 사유’에 해당한다고 판단합니다. 따라서 이용자가 계약 해지 시 위약금을 면제해야 합니다.
    • 주의: 이 판단은 이번 SKT 유심정보 유출 사고에 한정되며, 모든 사이버 침해사고에 일괄 적용되는 일반적인 해석은 아님을 명확히 합니다.

7. 마무리 및 향후 정책 방향

이번 사고를 계기로 민간 분야 정보보호 체계를 전반적으로 개편하겠습니다. 국회 과방위 TF와 협력하여 통신망 보안을 위한 별도의 법·제도 개선, 민간 투자 확대, 정보보호 거버넌스 강화 방안을 조속히 마련하여 AI 시대에 걸맞은 사이버 안보 역량을 강화하겠습니다.

Post Views: 1,313