SK텔레콤 BPF도어 해킹 사고 정리

1. 사건 개요

2025년 4월 22일, SK텔레콤은 T월드 앱을 통해 자사 고객의 USIM 정보 일부가 악성코드 감염으로 유출되었을 수 있다는 공지를 게시했다. 이 공지는 하루가 지난 23일 저녁까지도 다수의 고객에게 알려지지 않았으며, 공식적인 경로 외엔 언론 보도가 거의 없었다. 초기 조치로 관련 장비는 격리되고 악성코드는 삭제되었으나, 유출 경로 및 범위는 조사 중이었다.

 

2. 공격 방식: BPF도어 악성코드

2025년 4월 24일, 언론 보도를 통해 이번 사건이 리눅스 기반의 BPF도어(BPFDoor) 악성코드로 인한 백도어 공격임이 밝혀졌다.

이 악성코드는 2021년부터 중국의 APT 그룹 레드멘션(Red Menshen)에 의해 사용된 것으로 알려졌으나, 오픈소스로 공개되어 있어 공격자를 특정하기는 어렵다...

 

아래는 대충 아주 가볍게 분석해본 글인데 그냥 비유적으로 조금 넣었다..

https://wonbin109.tistory.com/161

 

BPFDoor는 일반적인 백도어와 달리, 매직 패킷을 통한 트리거 방식을 사용한다. 평상시에는 통신 흔적 없이 조용히 존재하며, 특정한 조건의 패킷을 수신하면 활동을 시작해 명령을 수행하고 정보를 탈취한다.

 

이 때문에 방화벽이나 보안관제 시스템에서도 탐지가 어렵다. 이번에도 SKT 보안관제센터가 9.7GB의 이상 트래픽을 감지해 문제를 인지했다.

3. 유입 경로와 공격 가설

정확한 경로는 아직 밝혀지지 않았지만, 다음과 같은 가능성이 제기되었다:

• Ivanti VPN 장비의 알려진 취약점을 통한 침투
• 유지보수 인력의 PC가 감염되어 내부로 전파
• 내부 협조자에 의한 유입

4. 유출된 정보 범위

2025년 4월 29일 과학기술정보통신부의 발표에 따르면 다음과 같은 정보가 유출되었다:

• USIM 복제에 활용될 수 있는 가입자 전화번호, IMSI 등 4종
• SK텔레콤 내부 관리용 정보 21종

KISA는 이후 추가 악성코드 8종의 해시값과 정보를 공개하며, 다른 서버의 추가 감염 가능성도 경고했다.

 

5. 공격 영향: SIM 복제 위험

이번 사건의 핵심은 USIM의 핵심 식별자인 IMSI와 통신사-유심 간 공유키(K)가 탈취되었을 가능성이다.

 

해당 정보가 유출될 경우, 공격자는 USIM 복제 또는 에뮬레이션을 통해 피해자 행세를 하며 본인인증, 문자 수신, 전화 수신 등을 조작할 수 있다. 이는 통신망의 인증 구조가 비대칭키가 아닌, 대칭키 기반이기 때문에 가능한 공격이다.

6. 시나리오별 위험도

USIM 복제 + 다른 IMEI	공격자가 피해자의 유심 정보를 복제하고 다른 단말기에 삽입	제한적 (FDS 탐지 가능)
USIM 복제 + 동일 IMEI	IMSI-K 키 외에 IMEI도 탈취한 경우, 가장 위험	매우 높음 (유심 교체 필요)
SIM 스와핑	본 사건과 관련 없음 (개인정보 도용 통한 오프라인 공격)	별개

7. 탐지 회피 방식

• BPFDoor는 평소 통신하지 않아 방화벽 우회를 손쉽게 함
• 특정 매직 패킷이 들어와야만 명령 수행 → 단속 어렵고 탐지 어렵다
• 프로세스명 위장 및 RC4 등 암호화 통신 방식 사용

 

8. 대응 

• FDS(이상탐지시스템) 고도화 필요
• 유심보호 서비스 이용 권장
• 침해지표(IoC) 기반 보안 체계 정비 필수
• 해킹이 의심될 경우 반드시 유심 교체

 

9. 결론

이번 SKT 해킹 사고는 단순한 침해 사고를 넘어, 국가 기반 통신 인프라에 대한 고도화된 위협이 현실화되었음을 의미한다. 오픈소스 백도어, 정교한 은폐 방식, 내부 침투 가설 등은 오늘날의 보안이 단순한 방화벽이나 백신만으로 대응할 수 없음을 보여준다.

 

민간 기업뿐 아니라 정부 차원의 대응 체계 강화가 절실한 시점이다.

최악의 해킹사건의 역사 속에 사는 우리