• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 인터뷰
  • 인사•부음
  • 글로벌뉴스
인공지능
배터리
양자컴퓨팅
컨퍼런스
칼럼•연재
포토•영상

ZDNet 검색 페이지

'CDR'통합검색 결과 입니다. (3건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

"SKT 보안체계 허점…다중인증 도입, 보안 거버넌스 개선 권고"

과학기술정보통신부가 SK텔레콤 유심 정보 유출 사고에 대한 조사를 마친 뒤 보안체계 전반의 허점과 관리 부실을 꼬집으며 다중 인증 도입, 암호화 강화, 보안 거버넌스 개선 등을 요구했다. 4일 과기정통부가 발표한 민관합동조사단의 최종 조사 결과에 따르면 SK텔레콤은 ▲계정정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 등 3가지 문제점이 확인됐다. 아울러 계정정보 관리가 부실하고 주요 정보 암호화 조치가 미흡한 점에 대해서는 6종의 재발 방지 대책을 제시했다. 과거 침해사고 신고를 지연·미신고한 건에는 정보통신망법에 따라 과태료를 부과하고, 자료보전 명령을 위반한 사례에 관해서는 수사기관에 수사를 의뢰할 예정이다. 2021년 8월 악성코드 침입...유심정보 9.82GB 유출 SK텔레콤은 지난 4월18일 오후 11시 20분 네트워크에서 평소보다 이례적으로 많은 데이터가 외부로 전송된 정황을 포착한 뒤 이후 자체 분석을 통해 해킹 가능성을 인지한 SK텔레콤은 4월20일 오후 4시 46분, 한국인터넷진흥원(KISA)에 침해사고 사실을 신고했다. 정부는 이동통신사의 가입자 인증 핵심정보인 유심(USIM) 관련 데이터가 포함된 중대한 보안 침해 사고로 판단하고 4월23일 한국인터넷진흥원, 국정원, 민간 전문가가 참여하는 민관합동조사단을 구성하고 본격적인 사고 조사에 돌입했다. 조사단은 ▲사고 경위 ▲유출 규모 ▲침입 경로 및 악성코드 분석 등을 중심으로 정밀 조사에 착수했다. 조사 결과에 따르면 해킹 사고의 시작은 2021년 8월로 특정됐다. 당시 해커는 외부 침입이 가능한 시스템 관리망에 있는 서버A에 접속 후 원격제어, 백도어 기능 등이 포함된 악성코드(CrossC2)를 2021년 8월6일 설치했다. 이후 서버A에 저장된 타 서버들의 계정정보(ID, 비밀번호 등)를 통해 서버B에 침투했다. 당시 서버B에는 가입자 정보를 관리하는 핵심 시스템 '음성통화인증(HSS)' 관리서버에 접속할 수 있는 계정정보가 저장돼 있었다. 이를 통해 해커는 HSS 관리서버에 접속 후 HSS 관리서버 및 HSS에 'BPFDoor'를 설치했다. BPFDoor는 방화벽을 우회해 몰래 침입하고 명령을 주고받을 수 있게 만든 은밀한 백도어 악성코드다. 이후로도 해커는 고객 관리망을 비롯한 여러 서버에 웹쉘, BPFDoor 등 악성코드를 설치하며 서버 감염 범위를 넓혔다. 결국 올해 4월18일 해커는 HSS 3개 서버에 저장된 유심정보를 유출했다. 이때 유출된 정보량은 9.82GB다. SKT 서버 전수 조사, 재발 방지 대책 권고 조사단은 이번 침해사고로 총 28대 서버에 대해 포렌식 분석을 진행한 결과, BPFDoor 27종을 포함한 총 33종의 악성코드를 확인했다. 이 중에는 타이니쉘(3종), 웹쉘(1종), CrossC2·슬리버 등 오픈소스 악성코드도 포함돼 있었다. 조사단은 관련 정보를 백신사, 국정원, 경찰청 등과 공유하고, 보안 점검 가이드를 보호나라 누리집을 통해 배포했다. 유출된 데이터는 유심 관련 정보 25종(9.82GB)이며, IMSI 기준 약 2천696만 건에 달하는 것으로 확인됐다. IMSI는 통신사 가입자 정보를 식별할 수 있는 민감한 데이터로, 향후 2차 범죄로의 악용 가능성이 제기됐으나, 현재까지 관련 피해 신고는 접수된 바 없는 것으로 알려졌다. 또한 조사단은 감염된 서버 중 2대에서 IMEI와 개인정보가 평문으로 저장, 또 다른 1대에서는 통화기록(CDR)이 평문으로 임시 저장돼 있었다고 밝혔다. 해당 서버의 방화벽 로그를 분석한 결과, 로그가 남아있는 기간에는 유출 정황이 없었으나, 로그가 존재하지 않는 시기(최대 2년 반)에 대해서는 유출 여부를 확인할 수 없었다. 조사단은 SK텔레콤 유심정보 유출 사고와 관련해 약 4만2천대의 서버에 대한 대대적인 악성코드 감염 조사를 실시한 결과, 총체적인 정보보호 체계 부실을 확인하고 재발 방지 대책을 제시했다. 먼저 국내 1위 이동통신사의 침해사고이자 유심정보 유출로 인한 2차 피해 우려가 큰 중대 사고로 판단하고, 지난 4월23일부터 6월27일까지 SK텔레콤의 전체 서버 4만2천605대를 대상으로 BPFDoor 등 은닉성이 높은 악성코드 감염 여부를 전수조사했다. 감염이 의심되거나 확인된 서버에 대해서는 포렌식 등 정밀 분석도 병행해 피해 발생 여부까지 확인하는 이례적으로 강도 높은 조치가 이뤄졌다. 조사 결과, SK텔레콤의 보안 체계는 계정정보 평문 저장, 유심 인증키 비암호화, 과거 침해 정황에 대한 미조치 및 미신고 등 다수의 문제점을 드러났다. 특히 2021년부터 음성통화인증 서버(HSS)에 악성코드가 침투해 있었지만, SK텔레콤은 2022년 서버 재부팅 과정에서 이상 징후를 감지하고도 전체 로그를 확보하지 못해 침입 사실을 파악하지 못했고, 법령상 침해사고 신고 의무를 이행하지 않았다. 이에 정보통신망법을 따라 과태료(3천만원 이하)를 부과할 예정이다. 또한 통신망법상 자료보존 명령이 내려진 후에도 SK텔레콤은 포렌식이 불가능한 상태로 서버 일부를 임의 조치해 제출한 사실이 확인돼, 정부는 수사기관에 수사 의뢰 방침을 밝혔다. 정부는 이번 사고를 계기로 SK텔레콤에 ▲모든 서버 접속에 다중인증 도입 ▲Ki값 등 주요 정보 암호화 저장 ▲EDR·제로트러스트 등 보안솔루션 확대 적용 ▲분기별 전체 자산 보안 점검 의무화 ▲협력사 SW 유입 관리 강화 ▲정보보호 최고책임자(CISO)를 CEO 직속으로 격상하는 등의 6대 재발 방지 대책을 권고했다.

2025.07.04 14:02진성우

SKT "통화기록 유출 없다"...20일부터 시간·장소 지정 유심교체

JTBC가 SK텔레콤의 사이버 침해사고로 통화상세기록(CDR) 저장 서버에 악성코드가 발견됐다고 16일 보도한 데 대해, 회사 측은 CDR은 유출되지 않았다고 밝혔다. 김희섭 SK텔레콤 PR센터장은 17일 서울 중구 삼화타워에서 열린 브리핑에서 “자체 조사에서 CDR 자료가 유출되지 않았다는 입장이다”며 “민관합동조사단이 조사하고 있는데 국민에 알려야 할 심각한 문제가 있다면 중간발표를 진행할 것”이라고 말했다. CDR 정보를 암호화하지 않았다고 보도한 점에 대해서도 “암호화가 이뤄져 있다”고 덧붙였다. 과학기술정보통신부는 전날 설명자료를 통해 JTBC 보도 내용에 대해 “민관합동조사단은 현재 감염서버들을 대상으로 각종 주요 정보의 유출 여부, 감염시점 검증 등 정밀한 조사를 진행 중”이라고만 했다. 단, 조사단이 특정 국가의 정보전 차원 해킹으로 잠정 결론을 내렸다는 보도 내용에 대해서는 “사실과 부합하지 않는다”고 강조했다. 실제 공격 주체 등에 대한 점은 조사단이 아닌 수사당국이 관여하고 있는 부분이다. 한편, SK텔레콤은 기존 예약 시스템에 따라 진행하고 있는 유심 교체는 19일까지 완료할 계획이다. 20일부터는 매장과 방문 날짜, 시간을 지정하는 방식의 새로운 예약 시스템으로 유심을 교체할 예정이다. 유심 교체와 함께 찾아가는 서비스도 변화를 준다. 도서벽지를 중심으로 진행한 '찾아가는 서비스'는 거동이 불편한 고령층과 장애인을 대상으로 한다. 이달 경북 경산시 노인복지관, 울산시와 충남 시각장애복지관 등 12곳을 찾아갈 계획이다. 이날 0시 기준 유심 교체 누적 가입자는 840만 명이며, 잔여 예약자는 153만 명이다.

2025.06.17 11:41박수형

"사이버 위협 탐지를 넘어 위협 가능 요소까지 제거한다"

"기업 내부 임직원이 보낸 이메일에도 악성코드가 들어있을 수 있다. 직원이 보낸 이메일도 신뢰하지 않고 검증해야만 사이버 위협을 최소화할 수 있다." 시큐레터는 '아무도 믿지 않는다'는 '제로 트러스트(Zero Trust)' 개념을 적용한 클라우드 네이티브 이메일 보안 서비스 '디스암(DISARM) 콘텐츠 시큐리티 포 이메일(Content Security for Email)'을 내놨다. 이 제품은 클라우드 기반 오피스 프로그램 마이크로소프트365에 최적화됐다. 마이크로소프트 마켓플레이스에서 '디스암' 서비스를 구매하면 바로 사용할 수 있다. 마이크로소프트 익스체인지 온라인(Exchange Online)을 사용하는 글로벌 고객을 타깃으로 한다. MS 익스체인지 온라인을 시작으로 쉐어포인트(SharePoint), 팀즈(Teams), 원드라이브(OneDrive) 등 MS 365 전 제품을 위한 보안으로 서비스로 확장한다. 이승원 시큐레터 CTO는 “많은 기업이 클라우드 기반 오피스 프로그램인 MS365를 도입하고 있는데 문서를 활용한 사이버 공격은 여전히 고도화되고 있다"면서 "내부 임직원이 보냈거나 보안 솔루션이 정상이라고 판단한 이메일이나 문서조차도 신뢰하지 않고 검증한다는 제로 트러스트 철학을 디스암에 적용했다”고 설명했다. 공격자는 이메일에 악성 문서나 URL을 첨부해 보낸다. 고전적인 방법이지만 여전히 가장 많이 쓰이는 공격방식이다. 공격자는 사회적으로 관심있을 소재나 회사의 특성을 반영해 공격 이메일을 보낸다. 정상적으로 보이는 문서 내부에 공격 요소를 숨긴다. 전체 사이버 공격 중 이메일을 통해 감행되는 지능형 보안 위협은 75%이며, 이 중 72%의 공격이 비실행 파일인 문서로 이뤄진다. 디스암은 기존 보안 위협 탐지를 뛰어넘어 위협 요소를 제거하는데 집중한 기술이다. 대부분 보안 솔루션은 악성 파일은 차단하고 정상은 통과시킨다. 디스암은 악성이나 정상을 판단하지 않고 위협 가능 요소를 모두 제거한다. 이 CTO는 "시큐레터는 문서 악용 공격의 8가지 근본 원인을 분류했다"면서 "마치 공항에서 보안검색대를 통과하는 것처럼 모든 문서의 위협성을 제거한다"고 말했다. 그는 "모든 사람은 생수를 휴대한 채로 공항검색대를 통과할 수 없다"면서 "공항에서 일일히 생수가 액체폭탄인지 조사하지 않고 일정 용량이 넘는 액체는 아예 검색대를 지나갈 수 없게 조치한다"고 설명했다. 시큐레터 디스암은 공항검색대처럼 이메일로 들어오는 모든 문서와 텍스트에 유해한 요소를 모두 제거한다. 시큐레터는 콘텐츠 무해화(CDR) 엔진을 디버거 엔진과 통합 제공한다. 기업 내부로 유입되는 보안 위협을 지속적으로 탐지·분석하고 피싱 이메일, 랜섬웨어, 이메일 사기 공격(BEC) 등으로부터 사용자를 보호한다. CDR 엔진으로 첨부 문서 내 악성 액티브 콘텐츠를 제거하고 디버거 엔진으로 문서 프로그램 취약점을 이용한 공격까지 차단한다. 이 CTO는 "디스암은 글로벌 기준에 특화된 통합 클라우드 이메일 보안 서비스"라면서 "MS 365 플랫폼에서 서비스를 구독하면 5분 안에 쉽고 빠르게 연동할 수 있다"고 말했다. 기존 이메일 보안 서비스와 달리 MS API를 활용하기 때문에 MX 레코드 값 변경이 필요 없고 이메일 유실 위험도 없다. 그는 "탐지만 하던 보안 기술에서 제거의 영역으로 기술의 진화를 보여주는 제품"이라면서 "글로벌 시장에서 성과를 내는데 집중한다"고 덧붙였다.

2024.07.18 14:21김인순

  Prev 1 Next  

지금 뜨는 기사

이시각 헤드라인

삼성은 왜 폰을 접으려 했던가?...갤럭시Z폴드 7돌 '도전과 혁신' 연대기

차세대 'LPDDR6' 표준 나왔다…삼성·SK, AI 메모리 새 격전지 추가

"현실 속 배틀그라운드"…크래프톤 'PUBG 성수' 가보니

"정부 지원은 또 다른 빚이었다"…티메프 고통은 '~ing'

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.