Your browser does not support JavaScript!

SK텔레콤 해킹 사태와 ‘방첩사 계엄 문건’ 北 사칭 이메일 대규모 유포: 2025년 4월 핵심 사이버 위협 동향

일반 리포트 2025년 04월 26일
goover

목차

  1. 요약
  2. SK텔레콤 USIM 정보 유출 해킹 사건
  3. ‘방첩사 계엄 문건’ 사칭 北 해킹메일 대규모 유포
  4. 결론

1. 요약

  • 2025년 4월 말, 국내 정보통신 및 보안 업계는 두 건의 대규모 사이버 위협 사례로 인해 큰 긴장감에 휩싸였습니다. 첫번째 사건인 SK텔레콤의 USIM 정보 해킹 사건은 2024년 6월 27일에 발생하여, 해커들이 악성코드를 통해 가입자의 고유 식별 번호와 통신 인증 정보를 탈취했을 가능성이 제기되었습니다. 해킹 사고 발생 직후, 과학기술정보통신부 및 한국인터넷진흥원(KISA) 등과의 협력하여 전방위적인 조사와 대응이 시행되고 있으며, 고객 불안을 최소화하기 위해 SK텔레콤은 유심 무료 교체 서비스를 제공할 예정입니다.

  • 두 번째 사건인 ‘방첩사 계엄 문건’ 사칭 이메일 캠페인은 2024년 11월부터 2025년 1월까지 약 3개월 동안 실시되었으며, 북한 해킹 조직이 사칭한 이메일을 통해 총 12만6천여 통의 피싱 메일을 발송하여 120명의 개인정보를 탈취했습니다. 이 사건은 북한의 사이버 공격이 지속적으로 진행되고 있다는 점을 강조하며, 국가 안보 대응 체계의 허점을 여실히 드러내었습니다. 현재 경찰 수사 결과, 이전의 해킹 사건들과 유사한 패턴이 발견되었으며 향후 유사 사건 대응 체계 구축이 필요하다는 교훈을 남기고 있습니다.

  • 이 보고서는 두 사건의 전개 경위와 현황을 시간 순으로 정리하고, 이들로 인해 발생한 보안 위협에 대한 대응 현황 및 향후의 보안 강화 방안을 모색하고 있습니다.

2. SK텔레콤 USIM 정보 유출 해킹 사건

  • 2-1. 사건 개요 및 배경

  • 2025년 4월 26일 기준으로, SK텔레콤의 가입자 USIM 정보가 해킹 공격으로 유출된 사건이 발생하였습니다. 이 사건은 2024년 6월 18일 전후로부터 시작되었고, 해킹은 2024년 6월 27일에 감지되었습니다. 초기에 해킹 공격은 SK텔레콤의 유심 서버에서 발생했으며, 해커는 외부에서 악성코드를 삽입하여 서버에 접근했습니다. 그 결과로 가입자의 고유 식별 번호와 통신 인증 정보가 탈취되었을 가능성이 제기되고 있습니다.

  • 당초 해킹 사실을 인지한 SK텔레콤의 내부 시스템은 2024년 6월 18일 뛰어난 위험 신호를 발견했지만, 공격을 사실상 확인한 시점은 9시간 후인 6월 27일이었습니다. 하지만, 해킹 발생 후 24시간 이내에 보고해야 하는 법적 요구 조건을 SK텔레콤이 위반한 점이 드러났습니다.

  • 이 사건은 단순한 해킹을 넘어서, 대기업의 보안 관리 체계에 대한 심각한 문제를 제기하고 있습니다. 악성코드의 정보는 2021년부터 사용된 BPF도어라는 리눅스용 백도어 악성코드로 확인되었습니다.

  • 2-2. 악성코드 유통 정황과 KISA 권고

  • 2025년 4월 25일, 한국인터넷진흥원(KISA)은 SK텔레콤 해킹에 사용된 악성코드와 관련된 위협 정보를 공개했습니다. KISA는 공지문을 통해 SK텔레콤에서 발견된 BPF도어 악성코드의 해시 값과 공격 IP를 공개하고, 기업과 기관에 대해 보안 점검 및 추가 예방 조치를 권고했습니다. 이번 악성코드는 과거 여러 해킹 사례에서 사용되었으며, 주로 외부 공격자로부터의 침입을 위해 설계된 것으로 알려졌습니다.

  • KISA는 ‘최근 주요 시스템을 대상으로 해킹 공격이 발생하는 추세’라고 경고하며, 모든 기업이 이 정보를 바탕으로 자체 보안 점검을 진행하고, 침입 흔적을 발견할 경우 즉시 KISA에 신고할 것을 강조했습니다. 특별한 보안 조직이 없는 기업들은 KISA의 사고 예방 조치 및 기준을 참고하여 보안을 강화해야 합니다.

  • 2-3. 조사 현황 및 기업 대응 과제

  • 현재 SK텔레콤 해킹 사건에 대한 조사가 진행 중이며, 이 과정에서 과학기술정보통신부와 개인정보보호위원회, 그리고 경찰이 협력하여 전방위적인 조사를 실시하고 있습니다. SK텔레콤은 유심 정보 유출에 따른 고객의 불안을 최소화하기 위해 유심 무료 교체 서비스를 발표하였습니다. 서비스는 2025년 4월 28일부터 시작되며, 고객이 자비로 교체한 유심 비용에 대해 환불도 진행될 예정입니다.

  • 전문가들은 사건의 원인 분석과 더불어 SK텔레콤의 보안 관리 체계의 허점을 지적하며, 고객 정보 보안 위반 여부에 대한 심층 조사가 필요하다고 주장하고 있습니다. 사건의 조사 과정은 규정상 6개월 이상 소요될 수 있으며, 현재 SK텔레콤과 KISA가 상호 협력하여 사건의 전반적인 경위를 파악하고 있습니다.

3. ‘방첩사 계엄 문건’ 사칭 北 해킹메일 대규모 유포

  • 3-1. 유포 기간·규모 및 수법

  • 이 사건은 2024년 11월부터 2025년 1월까지 약 3개월 동안 발생했으며, 북한 해킹조직이 사칭한 이메일을 통해 총 12만6266회의 피싱 메일을 1만7744명의 수신자에게 대량으로 발송한 것으로 나타났습니다. 이 메일은 '방첩사 계엄 문건 공개'라는 제목을 사용해 전문직 종사자들을 타깃으로 삼았습니다. 해당 타깃군은 통일, 국방, 안보 및 외교 분야의 인사들로, 이들은 실제로 중요한 정보에 접근할 권한을 가진 사람들이었습니다.

  • 이메일은 주로 정부 기관의 공식 통신을 가장하여 작성되었으며, 수신자에게 친숙한 사칭 주소를 사용해 신뢰를 얻으려 했습니다. 예를 들어, 메일 발송자는 공공기관의 이메일 주소 형식을 모방하거나 알지 못하는 친구의 주소와 비슷하게 구성된 전자우편 주소를 사용했습니다. 이 과정에서 수신자는 링크를 클릭하게 만들어 피싱 사이트로 유도되었고, 이 사이트에서 그들의 로그인 정보를 입력하도록 유도되었습니다.

  • 레퍼런스로 사용된 본 문서는 북한 해킹조직이 과거의 캠페인에서 사용한 서버와 주소를 재활용하여, 고의적인 정보 수집 및 해킹을 수행했음을 밝혔습니다. 실제로 공격에 사용된 서버는 중국과 북한 접경 지역에 할당된 IP 주소에서 운영되고 있었습니다.

  • 3-2. 경찰 수사 결과 및 결론

  • 경찰청은 이 해킹 사건을 수사한 결과, 북한 해킹조직이 실제로 이 사건의 배후임을 확인했습니다. 경찰청 국가수사본부는 포렌식 분석을 통해 서버의 IP 주소와 이메일의 언어 패턴이 과거의 북한 관련 사건과 일치함을 발견했습니다. 이는 해킹 조직의 방식이 이전의 사례들과 유사하다는 것을 의미하며, 북한이 사이버 공격에 있어서 어떤 특정 전략을 지속적으로 사용할 가능성을 시사합니다.

  • 수사 결과 120명이 피싱 사이트에 접속하여 아이디와 비밀번호를 입력했으나, 금전적 피해의 존재에 대한 추가적인 단서는 발견되지 않았습니다. 다만, 이메일 시스템의 자동화가 이뤄졌으며, 이는 대규모로 이메일을 발송할 수 있는 디지털 인프라의 발전을 나타냅니다.

  • 결론적으로, 경찰은 이번 사례가 불특정 다수를 대상으로 하는 새로운 형태의 사이버 공격이라고 강조하며, 향후 유사 사건의 재발 방지를 위한 대응 체계 구축의 필요성을 언급했습니다.

  • 3-3. 피해 현황과 보안 교훈

  • 이 사건의 피해는 주로 개인의 로그인 정보와 연락처 정보의 유출로 이루어졌으며, 정보 유출로 인한 후속 공격에 대한 우려가 확대되었습니다. 경찰은 이번 사건을 통해 모든 개인이 사이버 공격에 대해 경각심을 가져야 할 필요성을 강조했습니다. 특히 불분명한 발신자로부터 온 전자우편은 절대 열어보지 말고, 메일 안에 포함된 링크 클릭을 피해야 한다는 점도 재차 강조되었습니다.

  • 이 사례는 단순히 특정 타깃을 정하지 않고, 무작위로 대량 유포하는 방식이 더욱 진화하고 있음을 보여 줍니다. 해킹 이메일은 과거의 방식처럼 수작업으로 작성되지 않고, 자동화된 시스템으로 대량 발송되는 경향을 보였습니다. 이는 사이버 범죄자들이 다양한 전술을 통해 더욱 효율적으로 개인 정보를 탈취하고 있다는 것을 의미합니다.

  • 보안 전문가들은 이러한 상황에 대응하기 위해 개인 정보 보호의 강화를 요구하고 있으며, 특히 다단계 인증 사용과 같은 예방 조치를 보장할 필요가 있다고 강조합니다. 국민은 적극적으로 보안 교육에 참여하고 주기적으로 자신의 온라인 보안 설정을 점검할 필요가 있습니다.

결론

  • 2025년 4월 중순 이후 한국에서는 두 건의 중대 사이버 위협 사건이 발생하여, 국가의 정보 보안 환경의 심각성을 부각시키고 있습니다. SK텔레콤 해킹 사건은 대기업의 내부 보안 시스템의 취약점을 명확히 드러내었고, 고객 정보의 심각한 유출 위험성이 드러났습니다. 아직 이 사건에 대한 학습과 책임 규명 단계가 진행 중인 만큼, 해당 문제가 지속적인 우려를 낳고 있습니다.

  • ‘방첩사 계엄 문건’ 사칭 이메일 캠페인은 사이버 작전과 국가 비상사태가 연관된 실제 상황을 보여주으며, 정보 공유 및 플랫폼 차단 절차의 개선이 시급하다는 것을 시사합니다. 이러한 사고를 방지하기 위해, 기업들은 사전 모의훈련을 강화하고 내부 보안 점검을 지속적으로 수행해야 합니다. 또한, 정부는 사이버 위기에 대한 보다 체계적인 대응 매뉴얼을 재정비하고, 국민을 대상으로 하는 보안 교육을 정례화하여 단순한 예방을 넘어 보다 실효성 있는 대책을 마련해야 합니다.

  • 궁극적으로 이러한 사건들은 사이버 보안에 대한 자각과 경각심을 다시금 고취시킬 필요성이 있음을 일깨우며, 향후 유사 사건의 재발 방지를 위해 모든 이해관계자들이 통합적으로 협력해야 할 시점에 와 있다고 할 수 있습니다.

용어집

  • SK텔레콤 (SKT): 한국의 대표적인 통신사로, 이동통신 및 다양한 ICT 서비스를 제공합니다. 2025년 4월, SK텔레콤의 USIM 정보가 해킹 당한 사건이 발생하였으며, 이로 인해 회사는 고객 정보 보호 및 보안 체계 강화에 대한 대응책을 마련하고 있습니다.
  • USIM: 유니버설 가입자 식별 모듈(Unified Subscriber Identity Module)의 약자로, 이동통신 단말기에서 사용자 인증 및 개인 정보를 저장하는 카드입니다. SK텔레콤 해킹 사건에서 USIM 정보가 유출된 것으로 보고되었으며, 이는 개인 정보 보호에 중대한 위협이 됩니다.
  • KISA: 한국인터넷진흥원(Korea Internet & Security Agency)의 약자로, 사이버 보안과 인터넷 안전을 위한 정책을 수립하고, 정보 보호를 위한 다양한 프로그램과 서비스를 제공합니다. KISA는 SK텔레콤 해킹 사건에 대한 조사와 대응을 적극적으로 지원하고 있습니다.
  • 해킹: 컴퓨터 시스템이나 네트워크에 무단으로 접근하여 정보를 탈취하거나 시스템을 파괴하는 불법 행위입니다. 최근 SK텔레콤 해킹 사건에서 해커는 악성코드를 이용하여 고객의 개인정보를 탈취하였습니다.
  • 피싱: 사용자를 속여서 은행 계좌 정보나 개인 정보를 탈취하는 사이버 범죄의 일종입니다. 최근 북한 해킹 조직은 '방첩사 계엄 문건'을 사칭하여 12만 건 이상의 피싱 메일을 대량으로 유포하였습니다.
  • 악성코드: 시스템에 손해를 주거나 정보를 탈취하기 위해 만들어진 소프트웨어 프로그램입니다. SK텔레콤 해킹 사건에서 사용된 악성코드는 BPF도어라는 리눅스용 백도어 악성코드로 확인되었습니다.
  • ‘방첩사 계엄 문건’: 북한 해킹 조직이 사이버 공격을 감행하기 위해 사용한 문서로, 계엄 상황에 연계된 정보가 담겨 있습니다. 이 문서를 사칭한 이메일 캠페인은 국내 정보 보안에 심각한 위협을 초래하였습니다.
  • 위협 인텔리전스: 사이버 위협과 관련된 정보를 수집, 분석하여 대응 및 예방에 도움을 주는 과정 또는 시스템입니다. KISA는 SK텔레콤 해킹과 관련된 위협 정보를 공개하여 기업과 기관의 보안을 강화하고 있습니다.

출처 문서