SKT 유심 백도어 후속분석 – 남겨진 의문점과 실무 경고 정리
2025년 4월, SK텔레콤의 유심(USIM) 정보가 대규모로 유출되는 해킹 사건이 발생하였습니다. 본 글에서는 사건의 개요, 기술적 분석, 남겨진 의문점, 실무자 경고 및 대응 방안에 대해 정리하였습니다.
사건 개요
SK텔레콤은 2025년 4월 18일 오후 6시경 내부 시스템에서 이상 징후를 감지하였고, 같은 날 밤 해킹 사실을 인지하였습니다. 19일 오후에는 유심정보 유출을 확인하였으나, 관련 법령상 24시간 이내 신고 의무를 어기고 약 45시간이 지난 20일 오후 4시 46분에서야 한국인터넷진흥원(KISA)에 사고를 신고하였습니다. 해커는 'BPFDoor'라는 고도화된 백도어 악성코드를 이용하여 SKT의 가입자 서버(HSS)에 침투하였고, 국제이동가입자식별번호(IMSI), 기기식별번호(IMEI), 유심 인증키 등 민감한 정보를 탈취하였습니다.
기술적 분석: BPFDoor 악성코드
BPFDoor는 리눅스 커널의 eBPF(extended Berkeley Packet Filter)를 악용한 백도어 악성코드로, 네트워크 방화벽을 우회하여 시스템에 침투합니다. 이 악성코드는 매직 바이트와 다중 프로토콜을 이용하여 탐지를 회피하며, RC4 암호화와 패스워드 인증을 통해 세션을 수립합니다. 이러한 특성으로 인해 기존 보안 솔루션으로는 탐지가 어려워, 고도화된 보안 체계가 요구됩니다.
남겨진 의문점
1. 해킹 주체의 정체: BPFDoor는 중국 해커 그룹이 주로 사용하는 수법으로 알려져 있으나, 오픈소스로 공개되어 있어 공격자를 단정하기 어렵습니다.
2. 유출된 정보의 범위: 유심 복제를 위한 핵심 정보인 단말기 고유식별번호(IMEI)는 유출되지 않았다고 발표되었으나, 다른 민감한 정보의 유출로 인한 2차 피해 가능성은 여전히 존재합니다.
3. 대응의 적절성: SKT의 늑장 신고와 유심 교체 과정에서의 혼선 등 대응 과정에서의 문제점이 지적되고 있습니다.
실무자 경고 및 대응 방안
1. 유심 보호 서비스 가입: 유심 복제 시도 차단 기능이 있는 유심 보호 서비스에 가입하여 보안을 강화해야 합니다.
2. 유심 교체: SKT 대리점을 방문하여 유심을 무료로 교체받을 수 있습니다. 이심 사용자도 새 이심 발급을 권장합니다.
3. 인증 수단 강화: 문자인증 대신 구글 인증기 등 이중 인증 수단을 사용하여 보안을 강화해야 합니다.
4. 개인정보 점검: 핸드폰에 저장된 신분증/여권 스캔본을 삭제하고, 수상한 문자나 전화는 즉시 차단해야 합니다.
5. 통신사 비밀번호 설정: 통신사 비밀번호를 설정하여 가입자 인증을 강화해야 합니다.
이번 사건은 단순한 개인정보 유출을 넘어, 통신 인프라의 보안 취약성과 기업의 대응 능력에 대한 심각한 경고로 받아들여지고 있습니다. 실무자들은 이러한 사건을 교훈 삼아 보안 체계를 점검하고 강화하는 계기로 삼아야 합니다.
도움이 되셨다면 댓글이나 구독 부탁드립니다! 🙏