25년 4월 SKT 해킹 사건 BPFDoor

2025년 4월, SK텔레콤(SKT)은 약 2,700만 명의 가입자 정보를 포함한 대규모 해킹 사건을 겪었습니다. 이번 공격은 리눅스 기반의 고도화된 백도어 악성코드인 BPFDoor를 통해 이루어졌으며, 이는 국내 통신 인프라의 보안 취약점을 드러낸 중대한 사건으로 평가됩니다.

---

🔍 BPFDoor란 무엇인가?

BPFDoor는 2021년경부터 활동이 관찰된 리눅스 기반의 백도어 악성코드로, Berkeley Packet Filter(BPF)를 악용하여 포트 없이도 외부 명령을 수신할 수 있는 특징을 가집니다. 이는 방화벽이나 침입 탐지 시스템(IDS)을 우회하여 탐지를 어렵게 하며, 특정 “매직 패킷”을 수신할 때만 활성화되어 은밀하게 작동합니다.

---

🧭 SKT 해킹 사건 개요

• 침입 시점: 2022년 6월 15일경부터 BPFDoor가 SKT 시스템에 잠입하여 활동을 시작한 것으로 추정됩니다.

• 침해 대상: SKT의 핵심 인증 시스템인 Home Subscriber Server(HSS)를 포함한 23대의 리눅스 서버가 감염되었습니다.

• 유출 정보: 국제이동가입자식별번호(IMSI), 유심 고유 식별번호(ICCID), 유심 인증 키 등 약 9.82GB의 데이터가 유출되었습니다.

• 악성코드 종류: BPFDoor 변종 24종과 웹 셸 1종 등 총 25종의 악성코드가 발견되었습니다.

---

⚠️ BPFDoor의 특징과 위험성

• 포트리스닝 불필요: BPF를 활용하여 포트를 열지 않고도 외부 명령을 수신하므로, 방화벽이나 IDS에 탐지되지 않습니다.

• 은폐성: 정상적인 시스템 프로세스로 위장하고, 로그를 남기지 않아 장기간 탐지되지 않을 수 있습니다.

• 다양한 통신 프로토콜 지원: TCP, UDP, ICMP 등 다양한 프로토콜을 통해 명령을 수신할 수 있습니다.

• APT 공격에 활용: 중국계 해킹 그룹인 Red Menshen이 주로 사용하며, 통신사, 금융기관 등 주요 인프라를 대상으로 한 APT 공격에 활용됩니다.

---

🛡️ SKT의 대응 조치

• 유심 교체 서비스 제공: 전국 매장에서 무료 유심 교체 서비스를 제공하여, 유출된 인증 정보를 무력화하였습니다.

• 유심 보호 서비스 확대: 유심 복제 및 무단 변경을 방지하는 유심 보호 서비스를 무료로 전환하여 제공하였습니다.

• 보안 시스템 강화: 이상 접근 패턴을 탐지하여 차단하는 시스템을 최고 보안 수준으로 격상시켰습니다.

---

📌 결론 및 시사점

이번 SKT 해킹 사건은 BPFDoor와 같은 고도화된 악성코드가 국내 주요 인프라에 침투할 수 있음을 보여주며, 통신사 및 기업의 보안 체계 강화의 필요성을 강조합니다. 특히, 포트리스닝 없이도 통신이 가능한 BPFDoor의 특성은 기존 보안 시스템의 한계를 드러내며, 보다 정교한 보안 전략과 실시간 모니터링 체계의 구축이 요구됩니다.