SK텔레콤(SKT) 유심 해킹 사태와 BPFDoor 악성코드 점검 가이드

지난 4월 중순, SK텔레콤(SKT)은 대규모 해킹 공격으로 인해 약 2,300만 명의 가입자 유심(USIM) 정보가 유출되는 초유의 보안 사고를 겪었습니다. 이 사고는 단순한 개인정보 유출을 넘어, 통신 인프라의 핵심 보안 체계에 대한 근본적인 문제를 드러냈습니다.

사건 개요

• 발생 시점: 2025년 4월 19일 오후 11시경
• 공격 방식: 악성코드를 통한 내부 시스템 침투
• 유출 정보
  • 이동가입자식별번호(IMSI)
  • 단말기 고유식별번호(IMEI)
  • 유심 인증키(Ki)
  • 전화번호 등
• 유출 규모: 약 2,300만 명의 가입자 정보

유출 정보의 위험성

유심 정보는 단말기 인증 및 통신망 접속에 사용되는 핵심 데이터로, 유출 시 다음과 같은 2차 피해가 우려됩니다.

• 심 스와핑(SIM Swapping): 유심 복제를 통해 타인의 전화번호로 인증을 시도하여 금융사기나 계정 탈취 가능성
• 보이스피싱 및 스미싱: 유출된 정보를 활용한 사회공학적 공격 증가
• 금융 피해 사례: 부산에서 60대 남성이 자신의 명의로 알뜰폰이 개통되고, 은행 계좌에서 5,000만 원이 인출되는 사건 발생

300x250

SK텔레콤의 대응 조치

1. 유심 무상 교체
   • 2025년 4월 28일부터 전국 T월드 매장에서 유심 무료 교체 서비스 시행
   • eSIM 포함
   • 기존에 자비로 유심을 교체한 고객에게는 비용 환급 예정
2. 유심보호서비스 무료 제공
   • 유심 재발급 시 본인 확인 강화
   • 해외 로밍 차단 등 기능 포함
   • T월드 앱 또는 홈페이지에서 가입 가능
3. 보상 방안
   • 불법 유심 복제로 인한 피해 발생 시 100% 보상 약속
   • 피해 발생 시 전용 고객센터(080-800-0577)를 통해 상담 및 보상 절차 안내

정부 및 관계 기관의 대응

• 조사 진행
  • 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원(KISA), 경찰청 등 합동 조사 진행 중
  • 해킹 경위, 유출 정보 종류, 피해 범위 등에 대한 조사가 이루어지고 있음
• 정치권 반응
  • 국회 과학기술정보방송통신위원회 청문회에서 SK텔레콤 대표이사 출석
  • 유심 무상 교체 대책의 물량 부족 및 불편, 신고 지연 문제 등에 대한 비판 제기

사용자 대응 가이드

1. 유심보호서비스 가입
   • T월드 앱 또는 홈페이지에서 무료 가입 가능
   • 해외 로밍 이용 중에는 가입 불가(시스템 개선 예정)
2. 유심 비밀번호 설정
   • 휴대폰 설정 > 보안 > USIM 잠금 설정에서 PIN 코드 등록
3. 의심스러운 연락 주의
   • 모르는 번호나 이상한 링크는 클릭 금지
   • 보이스피싱 및 스미싱에 주의
4. 금융 앱 이중 인증 강화
   • 문자 인증 외에 OTP 추가 설정 권장
5. 피해 모니터링
   • 이상 통화내역, 데이터 사용량 급증 등 수시 확인

이번 SK텔레콤 유심 정보 유출 사고는 통신 인프라의 보안 취약점을 드러낸 사건으로, 통신사와 정부의 보안 체계 강화 및 사용자들의 보안 의식 제고가 시급합니다. 또한, 유사한 사고의 재발 방지를 위해 법적, 제도적 장치 마련이 필요합니다.

BPFDoor 악성코드 점검 가이드

악성코드 개요

BPFDoor는 리눅스 환경에서 동작하는 백도어 악성코드로, 다음과 같은 특징을 가집니다.

• 포트를 열지 않고 외부 연결을 대기하는 특성
• 위협 행위자의 매직패킷(Magic Packet) 수신 시 셸 연결
• 리버스셸(Reverse Shell)과 바인드셸(Bind Shell) 연결 가능
• BPF(Berkeley Packet Filter) 기술을 악용하여 네트워크 트래픽 필터링

점검 방법 (관리자 권한 필요)

1. 뮤텍스/락 파일 점검

$ sudo ls -l /var/run/*.pid | awk '$5 == 0 {print $9}'
$ sudo ls -l /var/run/*.lock | awk '$5 == 0 {print $9}'
$ sudo stat -c "%a %s %n" /var/run/*.pid /var/run/*.lock 2>/dev/null | awk '$1=="644" && $2==0 { print $3 }'

• 0바이트 크기의 644(-rw-r--r--) 권한 파일 확인

2. 자동 실행 파일 점검

$ sudo grep -Er '\[\s*-f\s+/[^]]+\]\s*&&\s*/' /etc/sysconfig/

또는 호환성 이슈가 있을 경우

$ sudo find /etc/sysconfig/ -type f -exec egrep '\[\s*-f\s+/[^]]+\]\s*&&\s*/' {} +

3. BPF 점검 (Linux Kernel 3.2 이상 + iproute2 4.0 이상)

$ sudo ss -0pb
$ sudo ss -0pb | grep -E "21139|29269|960051513|36204|40783"

또는

$ sudo ss -0pb | grep -EB1 "$((0x5293))|$((0x7255))|$((0x39393939))|$((0x8D6C))|$((0x9F4F))"

4. RAW 소켓 사용 점검

$ sudo lsof 2>/dev/null | grep -E "IP type=SOCK_RAW|IP type=SOCK_DGRAM" | awk '{print $2}' | sort -u | xargs -r ps -fp

더 심층적인 분석이 필요한 경우

$ sudo awk '$4=="0800" && $5=="0" {print $9}' /proc/net/packet | while read inode; do sudo grep -r "ino:\s*$inode" /proc/*/fdinfo/ 2>/dev/null | awk -F/ '{print $3}' | sort -u | xargs -r sudo ps -fp; done

의심 프로세스 발견 시 실행 파일 확인

$ sudo ls -l /proc/<PID>/exe

5. 프로세스 환경변수 점검

$ sudo ./bpfdoor_env.sh

• HOME=/tmp, HISTFILE=/dev/null, MYSQL_HISTFILE=/dev/null 환경변수 조합 확인

6. 특정 포트 및 네트워크 패킷 점검

$ sudo netstat -tulpn
$ sudo netstat -tulpn 2>/dev/null | awk '{match($0, /:([0-9]+)/, a); if ((a[1] >= 42391 && a[1] <= 43390) || $0 ~ /:8000([^0-9]|$)/) print $0}'

7. 의심 프로세스명 점검

$ sudo ps -ef | grep -E '/usr/sbin/abrtd|/sbin/udevd|cmathreshd|/sbin/sgaSolAgent|/usr/sbin/atd|pickup'

의심 프로세스 발견 시 파일 경로 확인

$ sudo ls -l /proc/<PID>/exe

8. 문자열 기반 초동 점검

$ sudo strings -a -n 5 <의심파일 경로> | grep -E 'MYSQL_HISTFILE=/dev/null|:h:d:l:s:b:t:|:f:wiunomc|:f:x:wiuoc|ttcompat'

9. YARA 룰 기반 점검

• [붙임3] BPFDoor YARA Rule 사용
• 의심 파일을 선별하여 YARA 도구로 검증

침해 흔적 발견 시

• 한국인터넷진흥원(KISA)에 신고
• https://boho.or.kr (침해사고 신고 → 신고하기)

주요 악성코드 특징

• 매직 시퀀스: UDP, ICMP(0x7255, 0x9F4F), TCP(0x5293, 0x39393939, 0x8D6C)
• HTTP POST 요청 시 마커(Marker) 문자열 값 "9999" 포함
• 매직패킷 크기: UDP/TCP 24바이트, ICMP 44바이트, HTTP POST 100바이트 이하

KISA_BPFDoor_악성코드_점검_가이드.pdf

1.38MB

출처 : 한국인터넷진흥원(KISA)

이 점검 가이드는 시스템 환경에 따라 예기치 않은 결과가 발생할 수 있으니, 실행 전 사내 보안 정책과 시스템 영향 가능성을 확인하시기 바랍니다.