https://www.boannews.com/media/view.asp?idx=137004&skind=5
배경
- 2025.04.19. 오후 11시경, SKT에서 유심 관련 정보가 유출된 정황이 있다고 공지
https://news.sktelecom.com/211423
- SKT의 가입자 관리 시스템 일부가 악성코드 공격을 받았을 가능성 높음
- 이 시스템이 HSS(Home Subscriber Server) 나 그와 유사한 가입자 데이터 관리용 서버일 가능성 높음
------------------------- 배경지식 -----------------------------
🚧 USIM (Universal Subscriber Identity Module)
1. USIM이란?
- 통신사 망에 접속할 때 본인을 식별하는 유일한 수단.
스마트폰 안에 들어가는 작은 칩
이 칩 안에는 사용자의 전화번호 같은 간단한 정보뿐만 아니라, 통신사 네트워크에 연결할 때 ‘나’임을 증명하는 중요한 정보가 포함됨
쉽게 말하면, 스마트폰이 이동통신망에 접속할 수 있도록 허락받게 해주는 ‘디지털 신분증’ 같은 역할
2. USIM의 용도
1. 가입자 인증: 가입자가 통신사 네트워크에 접속할 때 본인임을 인증
2. 암호화 키 관리: 통신 데이터(통화, 메시지) 암호화에 필요한 키 저장
3. 로밍 지원: 해외 네트워크 접속 시에도 사용자 인증을 가능하게 함
4. 모바일 결제, 인증서 저장: 일부 국가/통신사에서는 결제용 인증 수단 또는 인증서 저장 기능도 추가
5. 사설 보안 서비스 연동: 공공기관 로그인, 금융서비스 인증수단 등 외부 서비스와 연동
- 유심 안에는 전화번호, 통신사 인증 정보, 가입자 식별 번호(IMSI)가 들어있음
- 유심의 고유번호를 보여주는 상황:
- 폰을 켜거나(부팅)
- 비행기 모드를 껐다가 켜거나
- 새로운 기지국 영역(다른 지역)으로 이동하거나
- 전화/문자/데이터 사용을 시도할 때
💡 유심교체를 하는 것과 휴대폰 내의 데이터를 백업하는 것은 관련이 없음.
-> 유심(USIM)은 통신 인증을 담당함. (전화번호, 통신사 인증, SMS 수신 같은 것)
-> 반면 휴대폰 안 데이터(사진, 앱, 메모, 카톡 기록 등)는 보통 기기 자체 메모리나 클라우드(구글 드라이브, iCloud 등)에 저장됨
3. HSS (Home Subscriber Server)
- SKT, KT, LG U+ 등 각 통신사는 자기 고객용 서버를 따로 운영함
- 이 서버를 보통 HSS (Home Subscriber Server)라고 부름
- NFV(Network Function Virtualization)가 대세가 되면서 대부분 리눅스 위에 구축됨
- -> NFV 환경에서는 서버 가상화, 컨테이너화가 필수인데, 이때 대부분 OS가 리눅스임
- 그래서:
- SKT 가입자 → SKT의 가입자 서버에서 인증
- KT 가입자 → KT의 서버에서 인증
- LG 가입자 → LG 서버에서 인증
- 다음과 같은 정보를 저장함:
- 고객 이름
- 전화번호
- USIM 고유번호 (ICCID)
- 가입자 식별번호 (IMSI)
- 요금제, 부가 서비스 정보 등등.
4. 악용 상황 가정
- 유심 번호(ICCID)가 털리면, 이 정보를 악용해서
- “유심 복제 공격”(SIM swap attack) 같은 걸 시도할 수 있음
- → 기존 유심번호는 폐기하고, 새 유심으로 갱신하는 게 안전함
- 유심을 바꿔도 이미 털린 이름, 번호 등은 복구할 수 없음
* 유심 복제 공격이란?
공격자가 피해자의 유심 안에 저장된 핵심 인증 정보를 빼내서, 똑같은 기능을 하는 가짜 유심을 만들어내는 공격
복제에 성공하면, 공격자는 피해자의 전화번호를 그대로 쓸 수 있고, 통신사 네트워크에도 정상 사용자로 인식.
문자, 통화, 인증번호 수신, 모바일 결제 승인까지 모두 가능
💀 BPF도어 악성코드
1. BPF (Berkeley Packet Filter)란?
리눅스 커널에 기본 내장돼 있는 기능
- 리눅스나 유닉스 시스템에서 네트워크 패킷을 빠르게 필터링하고 분석하는 기술.
- 보안 도구(tcpdump, wireshark 같은)들도 이거 이용해서 트래픽 분석.
- 즉, bpf 자체는 ‘관찰 도구’ 같은 것
2. BPF door 란?
bpf 기술을 ‘악용’해서 만든 악성코드 이름
리눅스 시스템을 노리는 고급 백도어
- 일반적인 백도어와 다르게 포트를 열지 않으며, 연결을 맺지 않아서 포트 스캔, IDS, 방화벽 탐지에 잘 걸리지 않음
- 리눅스 커널이 제공하는 bpf 필터 기능을 이용해 네트워크 레벨에서 작동해서 잘 탐지되지 않음
일반적인 백도어나 RAT(원격제어툴)는 외부 서버랑 연결을 만들어야 함
BUT bpf도어는 통신을 맺지 않음.
- 포트 리스닝을 하지 않고,
- 세션 생성도 하지 않고,
- 그냥 패킷을 몰래 관찰해서 “특정 패턴”이 있는 패킷만 골라냄.
리눅스 커널에서 bpf 기능으로 “네트워크 인터페이스로 들어오는 모든 패킷”을 봄
-> 이 모든 과정이 “패킷 수신”으로만 이뤄짐
유심보호서비스 확대 관련 알려드립니다 | SK텔레콤 뉴스룸
– 고객 혼선 및 불편 최소화하기 위해 유심보호서비스 가입 프로세스 간소화 – 114 고객센터 상담시간 연장하고 사이버 침해 사고 전담센터 24시간 운영 – 디지털 취약 고객에 직접 전화, 유심
news.sktelecom.com
SKT, 사이버 침해 사고 불안 해소 위한 고객보호 조치 강화…유심 무료 교체 포함 | SK텔레콤 뉴스
– 유영상 CEO “고객 여러분과 사회에 진심으로 사과… 고객 보호 및 보안 체계 강화에 최선” – 28일부터 전국 T월드매장, 공항로밍센터서 희망 고객 대상 유심 무료 교체서비스 – 이미 교체
news.sktelecom.com
사이버 침해 사고 관련 FAQ | SK텔레콤 뉴스룸
SK텔레콤은 2025년 4월 19일 23시 40분경 악성코드로 인한 사고 정황을 발견하고, 관련 법률에 따라 유관기관에 신고, 조사에 적극적으로 협조하여 정확한 원인, 규모, 항목 등을 확인하기 위하여 노
news.sktelecom.com
'Tracker > notes' 카테고리의 다른 글
| CNN 구조 및 Meta-Learning 개념 정리 (2) | 2025.05.01 |
|---|---|
| 지도학습과 비지도학습 개념정리 (2) | 2025.04.30 |
| RTOS research (0) | 2025.04.09 |
| 스마트폰 센서 종류 (2) | 2025.03.23 |
| Cyber Security Trend 2025 (0) | 2025.03.23 |