국내 최대 통신사 SK텔레콤의 시스템에서 유심정보 2,700만 건이 유출되었습니다. 이 사건으로 웹쉘 감염의 위험성이 다시금 주목 받고 있습니다.
최근 대한민국 최대 통신사 중 하나인 SK텔레콤에서 대규모 정보 유출 사건이 발생했습니다. 이로 인해 현재 사회적 파장이 매우 커지고 있습니다.
특히 이번 사건의 근본적인 원인 중 하나로 웹쉘(Web Shell) 감염이 지목되었습니다. 웹쉘은 단순한 해킹 수단이 아니라, 장기적으로 내부 시스템을 장악하는 통로로 악용 될 수 있어 더욱 위험합니다.
이번 SK텔레콤 유심정보 유출 사건을 통해 웹쉘의 위험성과 보안 시스템의 중요성을 되짚어보겠습니다.
/
웹쉘 무엇인가?
웹쉘(Web Shell)은 웹서버의 취약점을 이용하는 악성 스크립트입니다. 먼저 공격자는 이를 통해 원격에서 명령을 실행합니다.
쉽게 말해, 해커가 시스템 내부에 비밀 통로를 만드는 것과 같습니다. 결과적으로 해커는 시스템을 자유롭게 들락날락할 수 있습니다.
웹쉘이 한 번 설치되기만 하면 관리자 권한 탈취, 파일 업로드/다운로드, 내부망 이동, 다른 악성코드 추가 설치 등 거의 모든 작업이 가능합니다. SK텔레콤 사건에서도 웹쉘이 결정적인 침입 경로로 작용했습니다.
/
SK텔레콤 임시 서버, 웹쉘과 평문 계정의 취약점
SK텔레콤 유심정보 유출 사고는 장기 해킹인 APT 공격의 결과물이었습니다. 먼저 해커는 인터넷에 연결된 임시 테스트 서버에 침투했습니다.
그 후에 2022년 6월 해당 서버에 웹쉘을 설치했습니다. 하지만 문제는 이 임시 서버의 보안 상태였습니다. 계정 정보가 암호화되지 않은 평문 상태로 저장되어 있었던 것입니다.
결과적으로 해커는 이 계정 정보를 탈취했습니다. 이어서 응용 서버와 가입자 정보 관리(HSS) 서버를 거쳐 고객 정보 서버까지 차례로 침투했습니다.
결국 웹쉘은 이 모든 과정에서 내부 시스템을 장악하는데 지속적으로 쓰였습니다.
/
3년 동안 탐지되지 않은 웹쉘, 보안 점검 실패
가장 충격적인 사실은 SK텔레콤이 3년 동안 이 웹쉘을 탐지하지 못했다는 점입니다. 사실 그들은 매년 자체 보안 점검을 실시하고 있었습니다.
하지만 보안 점검 과정에서 기본적인 웹쉘 탐지 항목이 누락된 것으로 드러났습니다. 이러한 방치 속에서 SK텔레콤 웹쉘 해킹 공격은 더욱 치명적으로 작용했으며, 결과적으로 총 28대의 서버가 악성코드에 감염되는 초유의 사태로 이어졌습니다.
발견된 악성코드는 총 33종에 달했습니다. 예를 들어 대표적인 웹쉘 변종과 타이니쉘, 슬리버 등 고급 해킹 툴들이 포함되었습니다.
또한 웹쉘을 통해 유입된 BPF도어 계열의 백도어 등 다수의 악성코드도 발견되었습니다. 이는 이번 사건이 단순한 해킹을 넘어 매우 조직적인 침입이었음을 뒷받침합니다.
/
유출된 유심정보는 무려 2,700만 건
해커는 SK텔레콤 내부망을 장악한 후, 지난 2025년 4월 18일, HSS 서버에 저장된 유심정보 9.82GB(약 2,696만 건)를 외부로 유출했습니다.
이 과정에서 웹쉘은 초기 침투와 명령 하달의 통로가 되었으며, BPF도어 계열의 백도어는 장기적인 거점 역할을 수행했습니다.
이처럼 웹쉘과 백도어의 결합은 단순한 공격을 넘어 내부 시스템을 서서히 장악해가는 핵심 수단이 됩니다.
/
보안 체계, 웹쉘 탐지부터 다시 설계해야
전문가들은 이번 SK텔레콤 유심정보 유출 사건을 계기로, 국내 기업의 웹쉘 대응 체계가 여전히 취약하다는 점을 경고하고 있습니다. 특히 AI기술이 고도화된 현재, 과거의 전통적인 보안 방식으로는 한계가 명확하다는 지적입니다.
과거에는 외부망과 내부망을 분리하는 것만으로 안전하다고 믿었습니다. 하지만 해커는 웹쉘을 입구로 삼아 망분리 환경을 무력화했습니다.
이제는 물리적인 네트워크 분리보다는 데이터의 가치와 흐름에 집중한 보안 설계가 필요합니다.
“웹쉘과 같은 은밀한 침투 수단을 효과적으로 차단하려면, 단순한 네트워크 격리를 넘어 데이터 흐름(Data Flow) 단위의 정교한 보안 통제가 필수적입니다.” — 고려대학교 김승주 교수
/
웹쉘, 지금 점검하지 않으면 언제든 위협이 된다
이번 SK텔레콤 웹쉘 해킹 사태는 단순한 사고가 아닙니다. 이는 내부 보안 체계와 웹쉘 대응 능력 부족이 불러온 ‘인재’입니다.
웹쉘은 지금도 수많은 기업 시스템 안에 숨어 있을 수 있습니다. 단 한 줄의 코드로도 수백만 명의 개인정보가 유출될 수 있다는 사실을 잊지 말아야 합니다. 기업과 기관은 웹쉘에 대한 상시 탐지 체계와 정기 점검을 철저히 강화해야 할 시점입니다.
이번 SKT 사건의 데이터 유출의 최종 단계에는 웹쉘이 있었습니다. 이를 방치하는 것은 도둑에게 대문 열쇠를 주는 것과 같습니다.
웹쉘을 실시간으로 탐지하고 즉시 격리할 수 있는 솔루션을 도입하십시오. 이것은 기업 생존을 위한 필수 전략입니다.