SKT HSS 서버 해킹 사태에서 USIM 교체의 보안 효과

최근 발생한 SKT의 HSS(Home Subscriber Server) 서버 해킹 사건은 이동통신망의 핵심 인프라를 겨냥한 중대한 보안 위협입니다. IT 및 통신 보안 전문가의 관점에서 이번 사태의 기술적 내용을 이해하고, USIM 교체가 왜 효과적인 대응 방안이 될 수 있는지 설명드리겠습니다.

HSS(Home Subscriber Server)란 무엇인가?

HSS는 이동통신망의 핵심 구성 요소로서, 가입자에 대한 모든 인증, 권한 부여, 이동성 관리 정보를 저장하고 관리하는 중앙 집중식 데이터베이스입니다. 쉽게 말해, 이동통신 가입자의 '마스터 키'와 같은 역할을 수행합니다. 휴대폰을 켜거나 기지국에 연결될 때마다 단말기는 USIM(Universal Subscriber Identity Module)에 저장된 정보를 이용하여 HSS에 접근하고, HSS는 해당 가입자가 네트워크에 접속하고 서비스를 이용할 수 있는 정당한 사용자인지 확인하는 인증 절차를 수행합니다.

HSS에 저장되는 주요 정보에는 다음과 같은 민감한 데이터가 포함됩니다.

• IMSI (International Mobile Subscriber Identity): 가입자를 고유하게 식별하는 국제 표준 식별자입니다.
• USIM 인증 키 (Authentication Key): USIM과 HSS 간의 상호 인증에 사용되는 비밀 키입니다. 이 키는 통신 세션 설정 시 무단 접근을 방지하는 데 필수적입니다.
• 서비스 프로파일: 가입자가 어떤 서비스(음성 통화, 데이터 통신, 부가 서비스 등)를 이용할 수 있는지에 대한 정보입니다.
• 이동성 관리 정보: 가입자의 현재 위치 정보 등을 관리하여 통신 연결을 유지합니다.

SKT HSS 서버 해킹의 기술적 의미

이번 SKT HSS 서버 해킹은 공격자가 이동통신망의 가장 민감한 정보를 관리하는 핵심 시스템에 침투했다는 점에서 심각성을 가집니다. 정확한 공격 경로는 조사를 통해 밝혀지겠지만, 일반적으로 HSS와 같은 중요 서버는 외부 인터넷과 분리된 내부망에 위치하며 철저한 보안 통제를 받습니다. 따라서 이번 침해는 이러한 내부망 보안이 어떤 방식으로든 우회되었거나 내부 시스템의 취약점이 악용되었을 가능성을 시사합니다.

IMSI:

• MCC - 국가 코드
• MNC - SKT와 같은 통신사를 구분하는 코드
• MSIN - 가입자 번호 (이동통신 사업자 내에서 가입자를 고유하게 식별하는 번호)
• 참고로 가입자의 전화번호는 IMSI와는 별개의 정보로 MSISDN이라 한다

HSS가 해킹당하고 USIM 관련 정보, 특히 IMSI와 USIM 인증 키가 유출되었다는 것은 다음과 같은 잠재적인 위험을 야기할 수 있습니다.

• USIM 복제 (SIM Cloning): 유출된 IMSI와 USIM 인증 키를 이용하여 악의적인 사용자가 동일한 가입자 정보를 가진 불법적인 USIM을 만들 수 있습니다.

• 가입자 정보 도용 및 부정 사용: 복제된 USIM을 이용하여 해당 가입자인 것처럼 통신망에 접속하고 음성 통화, 데이터 사용 등 서비스를 부정하게 이용할 수 있습니다. 이는 통신 요금 부과 등의 직접적인 피해로 이어질 수 있습니다.

• 보이스피싱 및 스미싱 악용: 탈취한 가입자 정보를 이용하여 해당 가입자를 사칭하거나, 가입자의 지인에게 스미싱 문자를 발송하는 등의 2차적인 금융 사기 및 사이버 범죄에 악용될 수 있습니다.

• 위치 정보 노출 위험: HSS는 가입자의 이동성 정보를 관리하므로, HSS 침해 시 가입자의 위치 정보가 노출될 가능성도 배제할 수 없습니다.

최근 SKT HSS 서버 해킹 사건에서 언급된 'BPFDoor'는 공격자들이 탐지를 회피하고 시스템에 지속적으로 접근하기 위해 사용하는 매우 은밀하고 기술적인 백도어(Backdoor) 악성코드입니다. 이름에서 알 수 있듯이 BPF(Berkeley Packet Filter)라는 리눅스 커널 기능을 악용하는 것이 특징입니다.

BPF(Berkeley Packet Filter)란?

BPF는 원래 네트워크 트래픽을 효율적으로 필터링하기 위해 설계된 리눅스 커널의 기술입니다. 프로그램이 네트워크 인터페이스를 통과하는 패킷을 가로채고, 특정 규칙에 따라 원하는 패킷만 선택적으로 처리할 수 있게 해줍니다. 이는 네트워크 모니터링 도구나 방화벽 등에서 광범위하게 사용됩니다. BPF 필터는 커널 레벨에서 동작하기 때문에 매우 빠르게 패킷 처리가 가능하며, 사용자 공간(User Space)의 애플리케이션이나 일반적인 보안 도구의 감시를 우회할 수 있는 잠재력을 가집니다.

BPFDoor의 작동 방식

BPFDoor 악성코드는 이 BPF 기능을 악용하여 다음과 같은 방식으로 동작하며 은밀성을 유지합니다.

• 은밀한 설치 및 잠복: BPFDoor는 시스템 침투에 성공한 후, 자신을 시스템 깊숙한 곳에 숨기고 실행됩니다. 전통적인 백도어처럼 특정 포트를 열어 놓고 외부 연결을 기다리는 방식이 아닙니다. 대신, BPF 필터를 커널에 설치하여 들어오거나 나가는 네트워크 패킷을 감시합니다.

• '매직 패킷(Magic Packet)' 대기: BPFDoor가 설치한 BPF 필터는 미리 정의된 특정 패턴이나 '매직 바이트 시퀀스'를 포함하는 패킷을 찾도록 설정됩니다. 이 '매직 패킷'은 공격자가 BPFDoor를 활성화하기 위해 보내는 일종의 비밀 신호입니다.

• 방화벽 우회: BPFDoor는 열린 포트를 사용하지 않고 커널 레벨에서 직접 패킷을 가로채기 때문에 시스템 방화벽 규칙에 영향을 받지 않습니다. 방화벽이 특정 포트를 차단하고 있더라도 BPFDoor는 BPF 필터를 통해 해당 패킷을 탐지하고 처리할 수 있습니다.

• '매직 패킷' 수신 시 활성화: BPF 필터가 '매직 패킷'을 탐지하면, 해당 패킷은 BPFDoor 프로세스로 전달됩니다. BPFDoor는 이 패킷을 분석하여 공격자의 명령을 식별합니다.

• 다양한 악성 행위 수행: '매직 패킷'에 포함된 명령에 따라 BPFDoor는 다양한 악성 행위를 수행할 수 있습니다. 여기에는 다음과 같은 것들이 포함될 수 있습니다.

• 리버스 셸(Reverse Shell) 생성: 감염된 시스템이 공격자의 서버로 연결을 맺고 셸(명령어 입력 환경)을 제공하여 공격자가 원격에서 시스템을 제어할 수 있게 합니다.

• 바인드 셸(Bind Shell) 생성: 감염된 시스템의 특정 포트에 셸을 바인딩하여 공격자가 해당 포트로 접속하여 시스템을 제어할 수 있게 합니다. (다만 BPFDoor의 주된 특징은 포트를 열지 않는다는 점이므로, 이는 필요에 따라 특정 상황에서만 사용될 수 있습니다.)

• 데이터 유출: 시스템 내 민감한 정보를 수집하여 외부로 전송합니다.

• 추가 악성코드 다운로드 및 실행: 다른 악성코드를 시스템에 설치하여 공격 범위를 확장합니다.

• 시스템 설정 변경: 보안 설정을 변경하거나 로그를 삭제하여 탐지를 더욱 어렵게 만듭니다.

• 탐지 회피 기법: BPFDoor는 프로세스 이름을 위장하거나 메모리 상에서 동작하는 등 다양한 안티-포렌식 및 탐지 회피 기법을 사용합니다. 또한, 통신 후에는 설정했던 방화벽 규칙을 다시 삭제하는 등 흔적을 최소화합니다.

SKT HSS 서버 해킹에 BPFDoor 방식이 사용되었다는 것은 공격자들이 핵심 인프라에 접근하기 위해 고도로 발전된 우회 및 지속성 기술을 사용했음을 시사합니다. 이는 통신망과 같은 국가 중요 시설에 대한 사이버 공격의 기술적 수준이 높아지고 있음을 보여주는 사례라고 할 수 있습니다. 이러한 위협에 대응하기 위해서는 전통적인 보안 솔루션 외에 커널 레벨에서의 의심스러운 활동을 탐지하고 분석할 수 있는 보안 솔루션 및 심층적인 네트워크 트래픽 분석 역량이 요구됩니다.

USIM 교체가 효과적인 대응 방법인 이유

이번 사태에 대한 SKT의 주요 대응 방안 중 하나로 USIM 교체가 제시되었습니다. 이는 유출된 정보의 핵심이 USIM과 HSS 간의 인증에 사용되는 비밀 정보이기 때문입니다.

USIM 교체가 효과적인 이유는 다음과 같습니다.

• 유출된 인증 키 무효화: USIM을 새것으로 교체하면, 새로운 USIM에는 이전에 유출되지 않은 새로운 USIM 인증 키가 할당됩니다. 따라서 공격자가 기존에 탈취한 인증 키는 더 이상 유효하지 않게 되어 해당 정보를 이용한 USIM 복제 및 통신망 접속 시도가 차단됩니다.
• HSS의 인증 정보 업데이트: 새로운 USIM을 개통하는 과정에서 HSS에 저장된 해당 가입자의 인증 정보도 새로운 USIM 인증 키로 업데이트됩니다. 이를 통해 USIM과 HSS 간의 인증 과정에서 최신 보안 정보가 사용되도록 보장합니다.
• 불법적인 접근 시도 차단: 공격자가 유출된 정보로 USIM을 복제하여 통신망에 접속하려 해도, HSS는 새로운 USIM 정보를 기반으로 인증을 수행하므로 불법적인 접근 시도를 비정상적인 행위로 탐지하고 차단할 수 있습니다. SKT에서 제공하는 'USIM 보호 서비스' 역시 USIM과 단말을 연동하여 다른 단말에서의 사용을 차단함으로써 유사한 보안 효과를 제공합니다.

결론적으로, SKT HSS 서버 해킹은 가입자 인증 시스템의 핵심이 침해당했다는 점에서 매우 심각한 사건입니다. 이로 인해 유출된 USIM 관련 정보, 특히 인증 키는 USIM 복제 및 부정 사용으로 이어질 수 있는 직접적인 위협이 됩니다. USIM 교체는 유출된 구형 인증 정보를 무효화하고 새로운 안전한 인증 정보를 사용하게 함으로써, 공격자가 탈취한 정보를 악용하여 발생할 수 있는 통신망 부정 접속 및 관련 보안 위협을 효과적으로 차단하는 근본적인 대응 방안입니다. 따라서 이번 사태의 직접적인 피해를 예방하고 추가적인 보안 위협에 대비하기 위해 USIM 교체 또는 USIM 보호 서비스 가입을 고려하는 것이 중요합니다.

이 글은 Gemini 2.5 Flash 모델을 이용하여 작성했습니다.