"SKT 해킹, 고유식별번호 유출은 없어…BPF도어 악성코드 포착"

해킹 공격으로 인한 SK텔레콤 유심 정보 유출 중 단말기 고유식별번호(IMEI) 유출은 없었던 것으로 파악됐다. 이에 따라 '유심보호서비스'에 가입할 경우 불법 유심 복제를 막을 수 있는 것으로 나타났다. 조사 과정에서 리눅스 시스템의 네트워크 필터 기능을 악용하는 고도화된 악성코드 'BPF도어'가 침투에 사용된 정황도 확인됐다.

과학기술정보통신부는 SK텔레콤 해킹 침해사고 조사를 위해 구성한 민관합동조사단(이하 조사단) 구성 이후 일주일 간 조사한 이같은 결과를 29일 1차 발표했다.

조사단은 이번 침해사고를 통해 단말기 고유식별번호(IMEI) 유출이 없는 것을 확인했다. 이에 따라 현재 SKT가 시행 중인 '유심보호서비스'에 가입하면 유출된 정보로 유심을 복제해 다른 휴대전화에 꽂아 불법적 행위를 하는 행위인 이른바 '심스와핑'이 방지되는 것을 확인했다.

유심보호서비스는 사전에 이용자가 사용하던 기기가 아닌 다른 기기에서 고객명의로 통신서비스를 접속하는 경우 이를 차단하는 서비스다. SKT는 비정상인증시도 차단(FDS)을 통해 불법적으로 유심을 복제한 뒤 SKT 망에 접속 시도 시 사전 탐지·차단 중이다.

조사단은 SKT가 공격을 받은 정황이 있는 3종, 5대 서버들을 조사했다. 기타 중요정보들이 포함돼 있는 서버들에 대해 조사를 확대 중이다. 지금까지 SKT에서 유출된 정보를 확인한 결과, 가입자 전화번호, 가입자식별키(IMSI) 등 유심 복제에 활용될 수 있는 4종과 유심 정보 처리 등에 필요한 SKT 관리용 정보 21종이었다.

조사단은 침해사고 조사 과정에서 침투에 사용된 BPF도어(BPFDoor) 계열의 악성코드 4종을 발견했다. BPF도어는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링·필터기능을 수행하는 BPF를 악용한 백도어다. 은닉성이 높아 해커의 통신 내역을 탐지하기 어려운 특징이 있다. 이에 조사단은 피해확산 방지를 위해 지난 25일 민간기업·기관 등에 관련 정보를 공유했다.

과기정통부는 신속하게 이용자들이 유심보호서비스에 가입할 수 있도록 예약시스템 도입 및 채널을 확대하도록 SKT에 촉구했다. 아울러 과기정통부는 현재 예약제로 전환된 SKT의 유심보호서비스에 대해 예약신청·완료 시부터 서비스에 가입된 것과 동일하게 100% 사업자가 책임질 수 있도록 사업자와 협의를 마치고 즉시 시행하도록 했다.김나인기자 silkni@dt.co.kr