국내 최대 통신사 시스템에서 유심정보 2,700만 건이 유출되며, 웹쉘 감염의 위험성이 재조명되었다.
최근 대한민국 최대 통신사 중 하나인 SK텔레콤이 유심정보를 대량으로 유출당한 사건이 발생해 사회적 파장이 커지고 있습니다. 이번 사건의 근본적인 원인 중 하나로 웹쉘(Web Shell) 감염이 지목됐는데요. 웹쉘은 단순한 해킹 수단이 아니라, 장기적으로 내부 시스템을 장악하는 통로로 악용 될 수 있어 더욱 위험합니다.
이번 SK텔레콤 유심정보 유출 사건을 통해 웹쉘의 위험성과 보안 시스템의 중요성을 되짚어보겠습니다.
웹쉘이란 무엇인가?
웹쉘(Web Shell)은 웹서버의 취약점을 이용해 공격자가 원격에서 명령을 실행할 수 있도록 만들어진 악성 스크립트입니다. 쉽게 말해, 해커가 시스템 내부에 비밀 통로를 만들고 이를 통해 자유롭게 들락날락할 수 있도록 만든 프로그램이라 할 수 있습니다.
웹쉘이 한 번 설치되면, 관리자 권한 탈취, 파일 업로드/다운로드, 내부망 이동, 다른 악성코드 추가 설치 등 거의 모든 작업이 가능합니다. SK텔레콤 사건에서도 웹쉘이 결정적인 침입 경로로 작용했습니다.
SK텔레콤 임시 서버, 웹쉘 감염이 시작점이었다
SK텔레콤 유심정보 유출 사고는 2021년부터 시작된 장기 해킹의 결과물이었습니다. 해커는 외부 인터넷과 연결된 임시 서버에 먼저 침투한 뒤, 여기에 악성코드 CrossC2와 함께 웹쉘을 설치했습니다.
문제는 이 임시 서버에 계정 정보가 평문(암호화되지 않은 상태)으로 저장되어 있었다는 점입니다. 해커는 이 계정 정보를 활용해 응용 서버 →HSS 관리 서버 → 고객 정보 서버로 차례차례 이동했습니다. 이 과정에서도 웹쉘은 지속적으로 내부 시스템을 장악하는 데 쓰였습니다.
3년 동안 탐지되지 않은 웹쉘, 보안 점검 실패
가장 충격적인 사실은, SK텔레콤이 3년 동안 이 웹쉘 감염을 단 한 번도 탐지하지 못했다는 점입니다. 연 1회 자체 보안 점검을 실시하고 있었음에도 불구하고, 기본적인 웹쉘 탐지 항목조차 누락되어 있었습니다.
민관합동조사단에 따르면, 감염된 서버 수는 총 28대였으며, 발견된 악성코드는 총 33종. 이 가운데 대표적인 웹쉘 변종과 타이니쉘, CrossC2, 슬리버 등 고급 해킹 툴들이 포함되어 있었습니다. 특히 BPF도어 계열 웹쉘이 다수 포함되어 있었던 점은 조직적인 침입의 정황을 뒷받침합니다.
웹쉘로 인해 유출된 유심정보는 무려 2,700만 건
해커는 SK텔레콤 내부망을 장악한 후, 지난 2025년 4월 18일, HSS 서버에 저장된 유심정보 9.82GB(약 2,696만 건)를 외부 서버로 전송하는 데 성공했습니다. 웹쉘은 외부 서버와의 연결 통로 역할을 했으며, 데이터 유출의 마지막 단계까지도 중요한 역할을 했습니다.
이처럼 웹쉘은 단순한 해킹 도구가 아니라, 해커의 장기적 거점이자 내부 시스템을 서서히 장악해가는 핵심 수단입니다.
보안 체계, 웹쉘 탐지부터 다시 설계해야
전문가들은 이번 SK텔레콤 유심정보 유출 사건을 계기로, 국내 기업의 웹쉘 대응 체계가 매우 미흡하다는 사실이 드러났다고 지적합니다. 특히 AI시대에는 단순한 망분리만으로는 보안 위협에 대응하기 어렵고, 데이터의 중요도에 따라 유연한 보안 체계를 갖춰야 한다는 목소리가 큽니다. 고려대 김승주 교수는 “웹쉘과 같은 은밀한 침투 수단을 탐지하려면, 단순한 네트워크 분리에서 벗어나 데이터 흐름 단위에서의 보안 통제가 중요하다”고 강조했습니다.
마무리: 웹쉘, 지금 점검하지 않으면 언제든 위협이 된다
이번 SK텔레콤 유심정보 유출 사태는 단지 해킹 공격으로 끝나는 문제가 아닙니다. 내부 보안 체계, 특히 웹쉘 탐지와 대응 능력의 부족이 만들어낸인재(人災)였던 것입니다.
웹쉘은 지금도 수많은 기업 시스템 안에 숨어 있을 수 있습니다. 단 한 줄의 코드로도 수백만 명의 개인정보가 유출될 수 있다는 사실을 잊지 말아야 합니다. 기업과 기관은 웹쉘에 대한 상시 탐지 체계와 정기 점검을 철저히 강화해야 할 시점입니다.