고객 유심 정보 유출 사과문 (출처: oo기 홈페이지)

oo기업 해킹 사고

2025년 4월 말, OO기업의 가입자 인증 시스템(HSS: Home Subscriber Server)이 악성코드에 감염되어 약 2,695만 건에 달하는 유심(USIM) 관련 정보가 외부로 유출되는 보안사고를 겪었습니다. 유출된 정보에는 이동통신 망 인증 과정에서 사용되는 단말기 고유 식별 번호(IMEI), 가입자 식별 번호 (IMSI), 유심 인증 키(KI) 등이 포함되어 있습니다. 

이번 사건은 OO기업 전체 가입자 수를 초과하는 규모로 국내 통신사 해킹 사례 중 단일 사고로는 최대 수준으로 평가되고 있습니다. 유출된 정보 중 일부는 다크웹에서 실제 거래 정황이 포착되었으며, 이로 인해 향후 유심 복제나 스미싱, 금융 사기 등 2차 피해로 이어질 가능성도 제기되고 있습니다. 특히 유심 인증 정보는 한번 유출될 경우 일반 사용자가 피해 사실을 인지하기 어렵고 대응이 지연될 수 있다는 점에서 더욱 심각한 위협으로 간주되고 있습니다.

깃허브에 공개된 BPFDoor 

한국 통신사가 이미 BPFDoor 공격당한 것으로 분석됨 (출처: 트렌드마이크로)

BPFDoor 악성코드란?

BPFDoor는 리눅스 서버에 설치되어 포트를 열지 않고도 공격자의 명령을 수신 할 수 있는 백도어 악성코드입니다. 이 악성코드는 리눅스 커널의 BPF(Berkeley Packet Filter) 기술을 활용해 특정한 매직 패킷이 도달했을 때만 동작하는 방식으로 설계되어 있습니다. 또한 리버스 쉘 실행, 방화벽 우회, RC4 암호화 통신 등 고급 기능을 통해 탐지를 어렵게 하며, 프로세스 위장 및 파일리스 실행으로 보안 솔루션을 회피합니다. 

BPFDoor는 2021년 공개된 이후, 중국계 해킹 그룹을 중심으로 APT 공격에 활용된 사례가 다수 보고되었습니다. 특히 이번 OO기업 해킹 사태에서도 여러 시스템에 이 악성코드가 설치되어 있었으며, 수년간 발각되지 않고 장기적으로 활동하며 대규모 정보를 유출한 것으로 나타났습니다. 해킹 사태에 쓰인 악성 코드는 오픈소스 기반으로 변형 가능성이 높은 만큼 지속적인 행위 기반 탐지와 보안 로그 모니터링이 필수적입니다. 또한, eBPF를 윈도우 시스템에 적용하려는 시도도 진행 중으로 리눅스 이외의 시스템에서도 주의가 필요합니다.

결론

이번 사고는 단순한 정보 유출을 넘어 통신 인프라의 보안체계 전반에 대한 신뢰를 크게 훼손한 사건으로 평가되고 있습니다. 사고 이후 OO기업은 침해 서버 격리와 함께 전국 대리점에서 유심 무상 교체 서비스를 제공하였으며, 유심 복제를 방지하기 위한 유심 보호 서비스를 전면 무상화 하였습니다. 그럼에도 불구하고 5월 한 달 동안 OO기업을 이탈한 가입자는 약 94만 명으로, 이는 전월 대비 약 77% 증가한 수치입니다. 아울러 피해 이용자들은 집단분쟁조정을 신청하며 기업의 책임을 묻는 움직임도 나타나고 있습니다. 이 사건은 고도화된 백도어 공격이 기존의 보안 체계를 무력화시킬 수 있음을 보여준 대표적인 사례로 앞으로 기업과 기관은 유사 사고 재발을 방지하기 위해 노력하여야 합니다.

BPFDoor 기반 악성코드 대응 방안

• 침해 지표(IOC) 기반 탐지 및 차단

• 비정상 네트워크 트래픽 탐지 강화

• 시스템 모니터링 및 파일 무결성 검증

• 로그 분석 및 장기 로그 보관 

• 보안 솔루션 탐지 우회 감시

• 내부 사용자 대상 정기적인 보안 교육 실시 

KISA BPFDoor 악성코드 점검 가이드 참고 (출처: KISA 보호나라)