가입자 유심(USIM) 정보가 유출된 SK텔레콤 해킹이 이반티(Ivanti)라는 업체의 VPN(가상사설망) 장비 취약점을 통해 이뤄졌을 가능성이 보안업계에서 제기됐다.
대만 사이버 보안 기업 TeamT5는 지난 24일 중국과 연계된 해커 그룹이 이반티 VPN 장비의 취약점을 악용해 전 세계 여러 기관에 침투했다고 밝혔다.
TeamT5는 피해 국가로 한국을 비롯한 12개 국가를 꼽았다. 대상 산업으로는 통신 등을 비롯한 20개 분야를 꼽았다. 발표 시점 즈음에 공교롭게도 SK텔레콤에 대한 해킹 사고가 있었다.
VPN은 네트워크에서 안전한 통신을 보장하는 솔루션인데 구조적 약점으로 인해 해커들이 내부 네트워크로 침투하는 경로로 악용됐다.
특히 이반티 커넥트 시큐어(Ivanti Connect Secure) VPN 장비는 최근에 위협을 겪은 솔루션으로 보안 업계에 알려져있다. 업계에 따르면 이 장비는 SK텔레콤 등 상당수 국내 기업에 들어가있다.
TeamT5는 공격자가 초기 접근을 위해 올해 초 보고된 취약점 ‘CVE-2025-0282’ 또는 ‘CVE-2025-22457’을 악용했을 가능성이 있다고 밝혔는데, 사이버보안 취약점을 평가하는 CVSS에서 10점 만점에 9점을 받을 정도로 치명적인 것으로 평가됐다. 공격자가 공격에 성공하면 원격 코드 실행을 통해 내부 네트워크 침입 및 악성코드 이식을 수행할 수 있게 된다고 한다.
이번 SK텔레콤 해킹에선 폐쇄된 통신사 내부망에 해커가 어떻게 침입했는지에 대한 의문이 큰 상황이다. 30일 국회 과학기술정보방송통신위원회 청문회에서도 SK텔레콤 내부망 메인 서버가 공격당한 해킹 방법에 대한 질의가 나왔다.
김장겸 국민의힘 의원은 “망 체계를 보면 (이번에 해킹 당한) 홈가입자서버(HSS)에 들어가려면 내부 인트라망을 뚫어야 한다”고 지적했다. 류정환 SK텔레콤 부사장은 “폐쇄망이고 분리망임에도 해커가 침입을 해서 그 부분을 조사하고 문제점을 찾으려 한다”면서 내부 협조자가 있었다는 의혹에 대해선 “섣불리 말씀드릴 수 없다”고 설명했다.
TemaT5는 “공격이 4월 이후 이반티 VPN 기기를 대상으로 시도되었음이 관찰됐다”며 “대부분의 악용 시도는 실패했지만, 많은 이반티 VPN 장비가 마비되고 불안정해져 악성코드를 삽입할 수 있었다”고 말했다.
SK텔레콤은 이와 관련해 “조사 중인 사안이라 확인이 어렵다”고 밝혔다.
![[보안칼럼] SKT 해킹, 지능형 지속 위협의 전형적 사례…모두의 경각심 필요](https://www.dailysecu.com/news/photo/202504/165757_194216_3054.jpg)
