SK 브로드밴드 해킹사건 정리

18일자 대규모 사태가 터지고 매스컴에서 시끄러워던 SKT의 보안사고 이슈가 몇년전 필자가 이 문제를 직접 경험해서 글을 포스팅합니다.

2023년도 아래 그림과 같이 SK브로드밴드 IP 대역에서 DDOS 공격을 받고 있었던 레포트 자료였습니다. 저 증상이 1년 6개월정도 지속되고 있었던걸 나중에야 발견했습니다.

접속자가 많지 않은데 서버에 이렇게 까지 트랙픽 먹나? 아무리 봐도 이상한데 하면서 하나하나 통계뽑아보고 조회해보니 비정상 트래픽이였고 SK브로드밴드 대역이라고 해서 SKT라고 생각안하고 SK IDC에 입주한 서버가 해킹당해서 좀비봇이 되지 않았나 정도만 생각한 그때였습니다.

저 대역을 전부 블랙리스트로 블럭하고 한숨쉬나 했더니 작년 10월쯤에도 또 SKB 대역에서 DDOS 트래픽을 유발하고 있었습니다. 어떤페이지를 호출하나 했는데 Base64 인코딩 이미지가 있는 페이지였고 한대역 128개에서 254개 IP가 랜덤으로 계속 해당페이지에 네트워크 대역폭을 다 뽑아가고 있었던거였습니다. 사람이 호출한게 아닌 봇이 자동으로 계속 트래픽 공격하고 있었습니다. SKT에서 운영하는 서버들인지 상상도 못했던 그때였습니다. 너무 스트레스 받아서 이 대역도 블랙리스트로 등록하였습니다.

이때까지만 해도 이게 SKB에서 DNS 리졸브 하는 서버대역인줄 몰랐습니다. DDOS 공격하고 있으니 막을수밖에 뭐 어쩌라고…

그러고 난후 지난 18일자에 역시나 대규모로 공격발 패킷이 대역으로 치고 들어오는걸 차단하는 상황이였습니다.

국내 IP가 이렇게 대역으로 막 치고 들어오는 경우가 거이 드물었는데 이상하게 SKB 대역만 골때리는 상황이 연출되었습니다.

이거이거 뉴스에 나오겠는데? 생각하던때 3-4일후에 역시나 언론에 보도가 되더군요. 유심해킹이다 뭐다 이상한 방향으로 흘러가고 있었습니다. 유심해킹은 빙산의 일각이였고 SKT 전체 대역 서버가 다 털린건 아닌가 싶었습니다. 그런데 이게 3-4년 전부터 계속 일어나고 있었던거고 저정도 트래픽이면 분명 보안이나 운영팀에서 모니터링 감지가 되었을건데 이게 아직까지 모르고 있었다는게 이해가 안가는 상황입니다. 이런 IT조직이 계속 몰랐던것도 문제고 이게 3-4년전부터 문제가 터졌던것도 문제입니다. 유심교체? 지금 그게 문제가 아니라 SKT 통신 네트워크 서버들이 다 해킹당했다고 지금 유심 교체해봐야 또 털린다고요 말하고 싶지만…

IT조직 전원이 물갈이 되도 할말이 없는 상황입니다. 3-4년동안 이걸 방관하거나 몰랐다는겁니다. 저 SKB 공격덕분에 IPS 방어 더 늘리고 하단 방화벽도 늘렸습니다.

저게 아마도 코로나때 재택근무 하면서 VPN 접속하고 내부 서버망에 백도어/악성코드가 들어간게 아닌가 싶네요. 

결론

1. 이미 3-4년전에 해킹당했으며 한두대가 아닌 수백 수천대가 해킹당한지 모르고 유지중
2. 해킹당하면 물론 데이터 뽑을데로 뽑아먹고 다 휘젓고 랜섬웨어를 걸리게 하든 데이터 날려버리 하지만 이 많은 서버대역들을 DDOS 용도로 좀비봇으로 만들어버린 상황
3. SKT는 KT/유플러스처럼 일부 개인정보 유출 이런 사태랑은 급이 넘사벽으로 다르고 이런거 오픈하면 회사 없어져도 할말이 없다고 봐야됨
4. 애초에 SKT 는 보안은 둘째치더라도 유지관리나 모니터링 인력이 있었나?도 문제였고 저정도 상황에도 감지를 못하고 오랜기간 문제를 일으켰다는건 내부조직에 큰문제가 있음을 보여줌
5. 우리나라 국민들은 안전불감증은 물론이고 보안불감증도 심각한 상황을 여실히 보여주고 있는게 이건 유심바꿔서 해결될 사항이 전혀 아니란거고 빨리 통신사 이동하는게 답. 이유가 모바일 및 인터넷 트래픽이 CCTV 감시하듯 해커들이 다 보고 있다는걸 알아야됨. SSL 사이트야 암호화되서 해킹이 쉽지 않다고는 하겠지만 해커들은 무슨수를 쓰든 그런거까지 패킷 분석할거라는걸 알아야됨
6. 탈출은 지능순