[임경호 기자]
SK텔레콤 해킹 사건의 시발점이 악성코드 'CrossC2'로 확인됐다. 업계에선 기존의 지능형 지속 공격(APT)에 악용되던 '코발트 스트라이크' 이상의 위험성을 지닌 공격 수단이라는 분석이 나온다.
과학기술정보통신부는 4일 SK텔레콤 침해사고에 대한 민관합동조사단의 최종 조사결과를 발표했다. 조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과 'BPF도어' 27종을 포함한 악성코드 33종을 확인했다고 밝혔다.
 |
SK텔레콤 사옥 / 사진=SKT 제공 |
SK텔레콤 해킹 사건의 시발점이 악성코드 'CrossC2'로 확인됐다. 업계에선 기존의 지능형 지속 공격(APT)에 악용되던 '코발트 스트라이크' 이상의 위험성을 지닌 공격 수단이라는 분석이 나온다.
과학기술정보통신부는 4일 SK텔레콤 침해사고에 대한 민관합동조사단의 최종 조사결과를 발표했다. 조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과 'BPF도어' 27종을 포함한 악성코드 33종을 확인했다고 밝혔다.
발견된 악성코드는 BPF도어 27종 타이니쉘 3종 웹쉘 1종 오픈소스 악성코드 2종(CrossC2, 슬리버)이다. 이 가운데 'CrossC2'가 SK텔레콤 서버에 가장 먼저 침투된 것으로 나타났다.
과기정통부는 "공격자는 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버A에 접속 후 타 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드 'CrossC2'를 2021년 8월 6일에 설치했다"고 설명했다.
이는 2차 조사 당시 확인됐던 악성코드 웹쉘의 침투 시기(2022년 6월)를 앞서는 것이다. 해킹 소식이 발견된 시점(2025년 4월)을 고려하면 이번 공격은 약 4년 전 시작된 셈이다.
CrossC2, 국가 배후 APT 공격 그룹에서도 사용
전문가들은 'CrossC2'에 대해 공격자가 침해 대상 시스템에 별도 인증 없이 접속해 명령어를 수행함으로써 데이터 탈취와 다양한 악성 행위가 가능하도록 한다고 설명했다. 특히 침해 대상 시스템을 기점으로 접근 가능한 네트워크망의 다른 시스템 인증 정보를 탈취해 추가 피해가 발생할 수 있다고 분석했다.
 |
사진=과학기술정보통신부 제공 |
과기정통부도 이번 조사 결과를 통해 "당시 서버A에는 시스템 관리망 내 서버들의 계정 정보가 평문으로 저장되어 있었다"며 "공격자는 동 계정정보를 활용해 시스템 관리망 내 타 서버에 접속한 것으로 추정된다"고 전했다.
'CrossC2'가 국가를 배후로 하는 해킹 조직에서 사용되고 있다는 진단도 나왔다. 장기간에 걸쳐 지속적으로 침투해오는 공격을 의미하는 APT 공격그룹 일부에서 해당 악성코드를 주된 공격 수단으로 사용한다는 설명이다.
실제로 APT 공격그룹은 특정 국가나 정부의 지원 아래 정보 수집과 시스템 파괴, 금전적 이익 편취 등 다양한 목적으로 표적에 지속 공격을 가하는 것으로 알려졌다. 이번 사건에서 별도의 금전 요구나 시스템 파괴 등이 부재한 점에 비춰볼 때 사회적 혼란을 목표로 했을 가능성도 점쳐진다. 다만 한정된 로그 기록 등으로 인해 확신은 어려운 상황이다.
과기정통부는 "유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82기가바이트(GB), IMSI 기준 약 2696만건"이라고 발표했다. 남아있는 로그 기록에선 추가 자료 유출 정황을 확인하지 못했다. SK텔레콤은 자체 보안규정에 따라 로그기록을 6개월 이상 보관해야 하지만 이번 사건과 관련해 방화벽 로그를 4개월간만 보관한 사실이 드러났다.
'코발트 스트라이크'보다 넓은 범위에 위험성↑
'CrossC2'는 윈도우와 리눅스 운영체제에서 동작하고, 자체적으로 제작된 프로토콜로 커맨드&컨트롤(C2) 서버와 통신하는 특징이 있다. 이에 따라 기존 공격 도구보다 위험성도 한층 높은 것으로 확인된다.
 |
업계에서는 'CrossC2'가 코발트 스트라이크(CobaltStrike)의 기능을 확장해 유닉스(Unix) 기반 시스템을 대상으로 한 보안 테스트를 더 효과적으로 수행할 수 있도록 설계된 도구라고 설명했다. 코발트 스트라이크는 모의 침투나 레드팀 테스트에 활용되는 도구지만, 공격자가 악성코드 동작 중간에 내부 시스템 장악을 목적으로 악용되기도 한다. 국내 기업들을 대상으로 하는 랜섬웨어 공격 시도에서 공격자들이 내부 시스템 장악을 위한 중간 단계로 코발트 스트라이크를 악용하는 사례가 다수 발견된 바 있다.
이런 맥락에서 침투 시점과 위험성을 고려하면 보안 대응에 아쉬움이 남는다. 민관합동조사단도 SK텔레콤이 보안 관리에 미흡했다고 보고 엔드포인트 탐지·대응(EDR), 백신 등 보안 솔루션 도입 확대 제로트러스트 도입 분기별 1회 이상 보안 취약점 정기 점검 및 제거 등을 재발 방지 대책으로 제시했다.
공급망 보안에 소홀한 지점에 대해서는 외부 조직 및 서비스로부터 발생하는 위험에 대한 보호대책을 마련, 이행 등 공급망 보안체계 구축을 명령했다. 정보보호 최고책임자(CISO)를 최고경영자(CEO) 직속 조직으로 강화할 것도 함께 명했다.
SK텔레콤은 7월까지 재발방지 대책에 따른 이행계획을 제출하고, 10월까지 이를 이행해야 한다. 정부는 12월까지 이행 여부를 점검한 뒤 필요할 경우 시정조치를 명령할 계획이다.
임경호 기자 lim@techm.kr
<저작권자 Copyright ⓒ 테크M 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
![박나래 논란 새국면…"처벌 안 받을 것" 왕진 전문의→세무사 '반전' 분석 [Oh!쎈 이슈]](/_next/image?url=https%3A%2F%2Fthumb.zumst.com%2F256x144%2Fhttps%3A%2F%2Fstatic.news.zumst.com%2Fimages%2F29%2F2025%2F12%2F18%2F84bfb11d02224c1994044d35d01444d6.jpg&w=384&q=100)
