SKT 해킹에 중국 해커 주특기 백도어 악성코드…"단정 어려워"

SK텔레콤의 가입자 유심(USIM) 정보를 탈취한 사이버 공격에서 중국 해커 그룹이 주로 사용하는 BPF도어(BPFDoor) 수법이 사용된 것으로 파악됐습니다.

BPF도어란 백도어 악성코드로 2021년 PWC사의 위협 보고서를 통해 최초로 알려진 사이버 공격 수법입니다.

보고서에 따르면 중국 기반의 공격자인 레드멘션(Red Menshen)이 중동과 아시아를 대상으로 한 공격에 수년간 BPF도어를 사용해 왔습니다.

오늘(24일) 보안업계에 따르면 지난 19일 최초 파악된 SK텔레콤 서버 공격은 BPF도어라는 리눅스용 악성파일을 심는 방식으로 이뤄졌습니다.

BPF도어 수법은 중국 기반 해킹 그룹이 사용하는 방식이지만, 이들이 최근 악성 파일 개발에 사용되는 소스프로그램을 인터넷에 오픈소스로 공개하면서 현재로서 공격자를 단정하기는 어렵습니다.

보안업계 한 관계자는 "지금으로서는 모든 가능성을 열어두고 사이버 침해 사고 현장에서 심층적인 조사가 필요해 보인다"고 말했습니다.

SK텔레콤 측은 "조사 중이라 공격에 쓰인 기법 등에 대한 확인은 어려운 상황"이라고 밝혔습니다.

BPF도어 수법을 쓴 해커가 한국 통신사를 공격한 것은 이번이 처음이 아닌 것으로도 확인돼 그간 통신사들의 보안 취약점이 노출됐던 것 아니냐는 우려도 나옵니다.


보안 전문회사 트렌드마이크로 보고서에 따르면 BPF도어 수법은 통신, 금융, 리테일 부문을 집중적으로 공격하는 데 쓰이고 있으며 한국, 홍콩, 미얀마, 말레이시아, 이집트에서 공격이 관찰됐습니다.

트렌드마이크로는 지능형 지속 위협(APT) 그룹이 지난해 7월과 12월 한국 통신사에 대한 BPF도어 악성코드 공격을 감행했다고 분석했습니다.

한편, SK텔레콤 해킹 이후 비상대책반을 꾸린 과학기술정보통신부는 지난 23일 가입자 정보 유출 사고를 공식 조사하기 위해 민간 전문가가 참여하는 민관합동조사단 활동을 시작했다고 밝혔습니다.

과기정통부는 23일 통신 3사 최고정보보안책임자(CISO)들과 영상 회의를 열어 SK텔레콤에 대한 사이버 공격과 동일한 위협을 점검하고 대비 태세를 강화해 달라고 당부했습니다.

과기정통부는 SK텔레콤 서버 공격 사례에서 확인되는 악성코드를 KT, LG유플러스와 공유하고 네트워크 보안을 점검할 것을 강조했습니다.

(사진=트렌드마이크로 보고서 캡처, 연합뉴스)