[심층 분석] SK텔레콤 유심 해킹, HSS 서버는 어떻게 뚫렸나? (BPFDoor 악성코드)

서론

SKT 유심 해킹 사건, 단순히 정보가 털렸다는 것만으로도 불안한데... 대체 해커들이 어떻게 통신사의 핵심 시스템까지 뚫고 들어온 걸까요? 오늘은 이 궁금증을 파헤치기 위해 기술적인 부분에 대해 좀 더 깊이 들어가 볼게요! ㅋㅋㅋㅋ

핵인싸 악성코드, BPFDoor

이번 SKT 유심 해킹 사건에 사용됐을 가능성이 높다고 지목된 악성코드가 바로 'BPFDoor'라는 녀석이에요. 이름부터 뭔가 심상치 않죠? 이 BPFDoor는 주로 중국 해커 그룹이 사용하는 수법으로 알려져 있다고 하네요.

통신망의 심장, HSS 서버

그럼 이 악성코드가 어디를 노렸냐? 바로 통신망의 '심장'이라고 할 수 있는 HSS (Home Subscriber Server) 서버입니다. HSS 서버는 우리 유심 칩에 들어있는 가입자 식별 정보, 인증 정보, 보안 정보 같은 진짜 중요한 데이터들을 중앙에서 관리하는 시스템이에요. 그러니까 여기 털리면 끝장인 거죠... 해커들은 이 HSS 서버에 침투해서 IMSI, IMEI 같은 기본적인 정보는 물론이고, 유심 인증 키(K값)까지 손에 넣은 것으로 알려졌어요. 와... 생각만 해도 위험하죠?

BPFDoor, 어떻게 숨어들었나?

BPFDoor 악성코드가 무서운 이유는 얘네가 엄청 은밀하게 움직인다는 거예요. 평소에는 통신 흔적을 거의 남기지 않고 숨어 있다가, 해커가 보내는 특정 네트워크 패킷이 감지되면 그때서야 활동을 시작한대요. 이게 가능한 이유 중 하나가 'BPF(Berkeley Packet Filtering)' 기술을 악용하기 때문이라고 하네요. BPF는 운영체제 커널 수준에서 코드를 실행할 수 있게 해주는 기술인데, 이걸 나쁜 쪽으로 쓰면 외부 통신 포트를 직접 열지 않고도 악성 행위를 할 수 있어서 탐지가 어렵대요. 진짜 교묘하죠?
일부에서는 이번 공격이 최대 1년 전부터 진행되었을 가능성도 제기되고 있어요. 오랜 기간 숨어 있으면서 정보를 빼내는 APT(Advanced Persistent Threat) 공격의 특징을 보인다는 거죠.

왜 HSS 서버였을까?

해커들이 왜 하필 HSS 서버를 노렸을까요? 당연히 유심 관련 정보가 다 모여있기 때문이겠죠. HSS 서버를 장악하면 수많은 사용자의 유심 정보를 손에 넣을 수 있고, 이걸 이용해서 SIM 스와핑 같은 다양한 형태의 공격을 시도할 수 있기 때문이에요. 통신 인프라의 핵심 요소를 직접적으로 노렸다는 점에서 이번 해킹의 심각성이 더욱 부각되는 거죠.

마무리하며

이번 SKT 유심 해킹 사건은 BPFDoor라는 은밀한 악성코드가 통신망의 핵심인 HSS 서버를 파고들어 발생했을 가능성이 높다는 점에서 기술적으로도 굉장히 중요한 의미를 갖습니다. 단순히 개인 PC가 털리는 것과는 차원이 다른 문제인 거죠. 통신사의 보안 시스템이 얼마나 중요한지 다시 한번 깨닫게 되는 사건입니다. 앞으로는 이런 일이 발생하지 않도록 통신사들이 보안에 더 많은 투자를 하고 대비를 철저히 해야 할 것 같아요. 다음 글에서는 이 유출된 정보로 어떤 피해가 생길 수 있고 우리는 어떻게 스스로를 지켜야 하는지 알아보겠습니다! ㅋㅋㅋㅋ 기대해도 좋아요!