◇最初の攻撃は21年 サーバー管理用ID・PWを暗号化せず
ハッカーがSKテレコムのサーバーに最初に不正プログラムを仕込んだのは2021年8月6日で、中間発表で明らかにされた22年6月より約10カ月早かったことが分かった。
ハッカーは外部のインターネットにつながったシステム管理ネットワーク内のサーバーにアクセスした後、他のサーバーに侵入するために遠隔操作やバックドア機能などが含まれた不正プログラムを仕込んだ。
攻撃を受けたサーバーに保存されていた他のサーバーを管理するためのIDやパスワードが暗号化されていなかったのが問題だった。
重要なサーバーにアクセスできる情報を入手したハッカーは21年12月、通信会社のコアネットワークといえるHSS(加入者情報を管理するサーバー)にアクセスした後、ステルス性の高い「BPFドア」を仕込み、サーバーを制御し始めた。
ハッカーは今年4月18日、HSSの三つのサーバーに保存されていたSIMカード情報9.82GB(ギガバイト)分を外部に流出させた。官民合同調査団は、加入者全員のSIMカード情報にあたるデータ量だと明らかにしている。
◇22年にサイバー攻撃認識 当局に報告せず被害拡大
今回の調査で、SKテレコムはハッカーがサイバー攻撃を実行中に不審な点を発見していたにもかかわらず、当局に報告せず社内で解決しようとして被害を拡大させていたことが分かった。
調査団は、同社が22年2月23日に特定のサーバーで異常な動きを発見し、点検するなかで不正プログラムに感染したサーバーを確認。対策を取ったものの、当局への報告の義務を守らなかった。
SKテレコムは今年4月にハッキング被害が明らかになった際も、報告期限である24時間を過ぎてから政府系機関の韓国インターネット振興院(KISA)に報告したとして波紋を呼んだ。
調査団は「SKテレコムは情報流出が発生したHSSにBPFドアが仕込まれていたことを確認できず、当局に報告しなかったため、政府の調査で不正プログラムを発見し、措置を取るプロセスを踏めなかった」と指摘した。
◇端末番号や通話記録の流出有無 ログ残されず確認不能に
調査団は、SIMカードの複製に悪用される可能性がある端末識別番号(IMEI)や個人情報が暗号化されない状態で保存されたサーバーを発見したが、分析した結果、ファイアウオールのログ(記録)が残っている昨年12月3日以降の流出はなかったと説明した。
だが、不正プログラムに感染した22年6月から昨年12月2日までのログは残っておらず、流出の有無は確認できない状況だ。
今回の問題が明らかになってから資産が盗まれるなどの二次被害は確認されていない。ただ政治家や公職者の通話記録を狙った国家レベルの組織的サイバー攻撃ではないかとの見方に対する真偽の把握は難しくなった。
調査団は「SKテレコムが自主規定ではログを6カ月以上保管するとしていたが、4カ月分しか保管されておらず重要情報の流出有無を綿密に調査するのに限界があった」とし、ログを6カ月以上保管することや中央ログ管理システムの構築などを求めた。
科学技術情報通信部は、同社のセキュリティー管理に過失があったとし、加入期間が残っている利用者が解約を申し出た際に違約金を免除するよう要求した。また調査結果に従い是正措置命令を予告する一方、国会と共同で民間分野への情報保護投資の拡大と情報保護ガバナンスの強化に向けた制度改善策をまとめる方針を示した。
Copyright 2025YONHAPNEWS. All rights reserved. 40
