"포렌식"에 대한 통합검색 결과
통합검색(37)
경제(4)
검색결과 총 37건
'내란 가담 혐의' 박성재 구속영장 기각…"여전히 혐의 다툼 여지" 12·3 비상계엄 관련 내란 가담 혐의를 받는 박성재 전 법무부 장관이 구속 위기를 벗어났다. 서울중앙지법 남세진 영장전담 부장판사는 13일 박 전 장관의 구속 전 피의자 심문(영장실질심사)을 한 뒤 조은석 내란특별검사팀이 청구한 구속영장을 기각했다. 재판부는 "종전 구속영장 기각결정 이후 추가된 범죄 혐의와 추가로 수집된 자료를 종합해 봐도 여전히 혐의에 대한 다툼의 여지가 있다"며 "불구속 상태에서 충분한 방어 기회를 부여받을 필요가 있다고 판단된다"고 설명했다. 또 "현재까지 확보된 증거 및 수사 진행 경과, 일정한 주거와 가족관계, 경력 등을 고려하면 향후 증거를 인멸하거나 도망할 염려가 있다고 보기도 어렵다"고 덧붙였다. 박 전 장관은 비상계엄 선포 이후 법무부 실·국장 회의를 소집하고 합동수사본부 검사 파견 검토 및 교정시설 수용 여력 점검, 출국금지 담당 직원 출근 등을 지시하는 등 윤석열 전 대통령의 내란 범죄에 순차적으로 가담한 혐의를 받는다. 앞서 특검팀은 지난달 9일에도 박 전 장관에 내란 중요임무 종사 및 직권남용 권리행사 방해 혐의를 적용해 구속영장을 청구했다. 당시에도 법원은 박 전 장관의 위법성 인식 정도 등에 대해 다툴 여지가 있다며 영장을 기각했다. 이후 특검팀은 추가 압수수색과 관련자 조사를 벌였고, 새롭게 확보한 증거와 진술을 바탕으로 일부 새로운 범죄 사실을 특정해 11일 구속영장을 재청구했다. 특검팀은 지난달 영장 기각 후 박 전 장관 등의 휴대전화 포렌식 과정에 '권한 남용 문건 관련'이라는 제목의 파일을 복원해 확보한 것으로 파악됐다. 박 전 장관은 이 문건을 계엄 다음 날인 지난해 12월 4일 텔레그램을 통해 임세진 당시 법무부 검찰과장으로부터 전달받은 뒤 삭제했던 것으로 확인됐으며 문건 작성자는 검찰과 소속 검사로 파악됐다. 해당 문건에는 더불어민주당의 입법권 남용 및 탄핵소추권 남용, 예산심의권 남용 등을 지적하면서 국회가 '입법 독재'를 통해 권한을 남용하고 있다는 내용이 담긴 것으로 전해졌다. 박 전 장관은 이 문건을 전달받은 직후 '삼청동 안가 회동'에 참석했다. 이 회동은 박 전 장관과 이상민 전 행정안전부 장관, 김주현 전 대통령실 민정수석, 이완규 전 법제처장 등이 참석한 자리였다. 특검팀은 법무부 검찰과가 박 전 장관의 지시를 받아 계엄을 정당화하는 논리가 담긴 문건을 작성한 것으로 보고 직권남용 혐의 범죄 사실에 이를 추가한 것으로 알려졌다. 또 '안가 회동'이 계엄 사후 대책을 모의하기 위한 것으로 의심되는 만큼, 증거 인멸의 우려가 있다고 판단한 것이다. 교정본부 직원들이 박 전 장관의 '수용 여력 점검' 지시에 따라 각종 문건을 작성한 정황도 추가로 파악됐다. 특검팀은 최근 수사 과정에서 신용해 당시 교정본부장이 박 전 장관 지시를 받아 법무부에 수도권 구치소 수용 여력 현황을 점검하도록 하고, '약 3600명을 수용할 수 있다'는 내용을 보고받은 사실을 확인했다. 신 전 본부장은 이를 휴대전화로 촬영해 12월 4일 새벽 박 전 장관에게 전송한 것으로 알려졌다. 특검팀은 이를 공무원들에게 의무 없는 일을 하게 한 것으로 보고 직권남용 혐의 범죄 사실에 추가한 것으로 파악됐다. 박 전 장관 측은 이날 영장 심사에서도 위법한 지시가 없었다는 입장을 고수했고, '권한 남용 문건 관련' 등 문서들도 예상되는 국회 질의에 답변하기 위해 당시 상황을 정리한 것일 뿐 계엄을 합리화하려는 의도는 없었다고 소명한 것으로 알려졌다. 구속영장이 두 차례 기각된 만큼 특검팀은 향후 추가 조사 없이 박 전 장관을 불구속 상태로 기소할 것으로 전망된다.
2025.11.14
KT, 지난해 서버 대량 해킹 파악하고도 은폐 정황…정부 "엄중히 보고 있어" KT가 지난해 BPF도어(BPFDoor)라는 은닉성이 강한 악성 코드에 서버가 대량 감염됐음을 자체적으로 파악하고도 별다른 신고 없이 은폐한 것으로 알려졌다. BPF도어는 올해 초 불거진 SKT 해킹 사례에서도 큰 피해를 준 악성 코드다. KT는 지난해 감염 사실을 은폐한 데 이어 올해 SKT 사태 이후 당국의 해당 악성코드 감염 여부에 대한 업계 전수조사 과정에서도 해킹 사실이 발견되지 않은 것으로 밝혀졌다. KT 해킹 사고를 조사 중인 민관 합동 조사단은 이같은 내용을 6일 정부서울청사에서 진행한 중간 조사 결과 브리핑에서 밝혔다. 과학기술정보통신부는 무단 소액결제 사고의 한 원인으로 꼽힌 KT의 펨토셀 관리 문제점, 해킹 은폐 의혹과 관련된 조사 결과를 토대로 법률 검토를 거쳐 위약금 면제 사유에 해당하는지 발표할 계획이다. 조사단은 서버 포렌식 분석 등을 통해 KT가 지난해 3∼7월 BPF도어, 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 이를 당국에 신고하지 않고 자체적으로 조치한 사실을 파악했다. 조사단에 따르면 KT는 감염 서버에 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등의 가입자 개인정보가 저장돼 있었다고 보고했다. 조사단은 KT가 지난해 해킹 사실을 발견하고도 당국에 알리지 않고 은폐한 정황에 대해 "엄중히 보고 있다"며 "사실관계를 면밀히 밝히고 관계기관에 합당한 조치를 요청할 계획"이라고 전했다. 조사단은 불법 펨토셀에 의한 소액결제 및 개인정보 유출과 관련해 초소형 기지국(펨토셀) 운영 및 내부망 접속 과정에서 보안 문제점을 확인했다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 인증서를 복사하면 불법 펨토셀도 KT 망에 접속할 수 있었고 인증서 유효기간도 10년으로 한 번이라도 KT 망에 접속한 이력이 있는 펨토셀은 지속 접속이 가능한 문제가 있었다. 또 펨토셀에 탑재되는 셀 ID, 인증서, KT 서버 IP 등 중요 정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공해, 펨토셀 저장 장치에서 해당 정보를 쉽게 확인, 추출할 수 있었다. KT는 내부망에서의 펨토셀 접속 인증 과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고 KT 망에 등록된 정보인지 여부에 대해서도 검증하지 않았다. KT는 단말과 기지국 간, 단말과 코어망 간 종단 암호화를 하고 있었지만, 불법 펨토셀을 장악한 자는 종단 암호화를 해제할 수 있었다. 암호화가 해제된 상태에서는 불법 펨토셀이 ARS, SMS 등 결제를 위한 인증정보를 평문으로 얻어낼 수 있었다. 조사단은 불법 펨토셀을 통해 결제 인증정보뿐 아니라 문자, 음성통화 탈취가 가능했는지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사할 방침이다. 조사단은 "적은 수이긴 하지만 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다"며 KT의 피해자 분석 방식을 재점검해 누락된 피해자 존재 여부도 확인할 계획이라고 덧붙였다.
2025.11.06
루브르 보석 절도 용의자 2명 체포…도난품 행방은 여전히 미궁 파리지앵은 25일(현지시간) 밤 경찰이 조직적 절도 및 범죄조직 결성 혐의로 30대 남성 2명을 구금했다고 보도했다.수사 당국은 한 용의자가 알제리로 도주하려 한다는 첩보를 입수해 심야 작전을 펼쳤다. 이 남성은 밤 10시경 파리 샤를드골 공항에서 체포됐으며, 또 다른 용의자는 파리 외곽 센생드니에서 붙잡혔다. 두 사람 모두 절도 전과가 있으며, 한 명은 프랑스 국적자, 다른 한 명은 프랑스-알제리 이중 국적자로 확인됐다.로르 베퀴오 파리 검찰청장은 “체포된 남성 중 한 명은 루아시 공항에서 출국 직전이었다”고 밝히며 “체포 작전 세부 사항을 섣불리 공개한 일부 관계자들의 행위가 수사에 지장을 줄 수 있다”고 지적했다. 왕실 보석 8점 도난, 가치 약 1천499억 원이번 사건은 지난 19일 오전 루브르 내 ‘아폴론 갤러리’에서 발생했다. 절도범들은 감시 사각지대를 이용해 외벽에 사다리차를 대고 2층 창문을 깨 침입한 뒤 단 7분 만에 보석 8점을 훔쳤다. 피해 규모는 약 1천499억 원으로 추산된다.범행 현장에는 절단기, 토치, 노란 조끼, 장갑, 헬멧, 무전기 등이 남겨져 있었으며, 이 중 일부에서 채취된 DNA와 지문이 수사에 결정적인 단서가 됐다. 범인들은 도주 중 나폴레옹 3세의 부인 외제니 황후의 왕관을 떨어뜨리고 간 것으로 알려졌다. 박물관 내부자 연루 정황 포착수사팀은 박물관 보안 요원 중 한 명이 범인들과 공모했다는 정황을 포착했다. 영국 텔레그래프는 한 수사 관계자의 말을 인용해 “보안 관련 정보가 외부로 유출됐으며, 이로 인해 범인들이 허점을 정확히 파악할 수 있었다”고 전했다.디지털 포렌식 결과, 내부자와 용의자 간 주고받은 메시지와 음성 녹음 파일이 확보된 것으로 알려졌다. 도난품 행방 여전히 오리무중프랑스 경찰은 구금 시한 96시간 내에 두 용의자에게서 공범자와 도난품 소재를 파악할 방침이다. 현재까지 회수된 보석은 없으며, 경찰은 공범 체포와 함께 해외 밀반출 가능성에 무게를 두고 수사를 이어가고 있다.
2025.10.27
범부처 정보보호 대책 "해킹 정황 확보되면 기업 신고 없이도 조사 가능" 정부는 잇따라 발생하는 사이버 침해 사고에 대응하기 위해 해킹 정황이 있을 경우 기업이 신고하지 않더라도 조사할 수 있도록 방침을 세웠다. 과학기술정보통신부와 기획재정부, 금융위원회, 행정안전부, 국가정보원 등 관계부처는 22일 정부서울청사에서 범부처 정보보호 종합대책을 발표했다. 먼저 정부는 민간과 공공 분야를 막론하고 반복되는 최근의 해킹 사고를 심각한 위기 상황으로 인식하고 있다며 국가안보실을 중심으로 유기적인 대응 체계를 가동하겠다고 밝혔다. 이에 따르면 먼저 해킹 등 사이버 침해 사고가 있어도 은폐하는 관행을 막기 위해 해킹 정황이 확보된 경우에는 기업 신고 없이도 정부가 현장 조사에 나설 수 있도록 제도 개선에 나선다. 해킹 지연 신고, 재발 방지 대책 미이행, 개인·신용 정보 반복 유출과 같이 보안 의무를 위반한 주체에 대해서는 과태료·과징금 상향, 이행강제금 및 징벌적 과징금 도입 등 제재를 강화한다. 개인정보 유출 사고에 따른 과징금 수입은 피해자 지원 등 개인정보 보호에 활용할 수 있도록 기금 신설을 검토한다. 정부는 공공·금융·통신 등 국민 대다수가 이용하는 1600여개 IT 시스템에 대해 대대적인 점검에 착수하며 특히 최근 해킹 사고가 잇따른 바 있고 정보 유출 시 2차 피해가 큰 통신사에 대해서는 실제 해킹 방식의 강도 높은 불시 점검을 추진한다고 강조했다. 통신업계가 주요 IT 자산의 식별·관리 체계를 만들도록 하고 해킹에 악용된 것으로 지목된 소형 기지국(펨토셀)은 안정성이 확보되지 않으면 즉시 폐기한다. 또 해킹 발생 시 소비자의 증명책임 부담을 완화하고 통신·금융 등 주요 분야에서 이용자 보호 매뉴얼을 마련한다는 방침이다. 정보보호 공시 의무 기업을 상장사 전체로 확대해 의무 대상도 현행 666개에서 2700여개로 늘린다. 공시 결과를 토대로 보안 역량 수준을 등급화해 공개하기로 했다. 유명무실하다는 비판을 받아온 보안 인증 제도(ISMS·ISMS-P)는 현장 심사 중심으로 바꿔 사후 관리를 강화하고 기업 최고경영자(CEO)의 보안 책임 원칙을 법제화한다. 금융·공공기관 등이 소비자에게 설치를 강요하는 보안 소프트웨어는 내년부터 단계적으로 제한하고 클라우드, AI 확산 등 글로벌 변화에 부합하지 않은 획일적인 물리적 망 분리 규정을 데이터 보안 중심으로 바꾼다. 또 민관군 합동 조직인 국정원 산하 국가사이버위기관리단과 정부 부처 간의 사이버 위협 예방·대응 협력을 강화한다고 밝혔다. 국정원의 조사·분석 도구를 민간과 공동 활용하고, 인공지능(AI) 기반 지능형 포렌식실을 구축해 분석 시간을 건당 현행 14일에서 5일 정도로 줄인다는 목표를 세웠다. 여기에 공공의 정보보호 예산·인력을 확충하고 정부 정보보호책임관 직급을 기존 국장급에서 실장급으로 높이며 공공기관 경영평가 시 사이버 보안 관련 점수도 현재의 2배로 올린다. 보안 산업 육성을 위해 차세대 AI 보안 기업을 연 30개 사 규모로 육성하고, 보안 전문가인 화이트해커를 연 500여명 배출할 계획이다.
2025.10.22
김건희 특검, 국민의힘에 '통일교 입당 의혹' 당원명부 대조 요구 김건희 여사의 의혹들을 수사하는 민중기 특별검사팀이 통일교인들의 국민의힘 당원 가입 의혹을 규명하고자 18일 재차 국회를 찾아 당측의 수사 협조를 요청했다. 특검팀은 18일 국회 본관에 있는 국민의힘 사무총장실 등에 수사관과 포렌식팀을 보내 압수수색영장을 제시하고 통일교인 명단과 국민의힘 당원 명부를 대조하는 작업에 대한 협조를 요청했다. 특검팀은 지난 13일에도 중앙당사에 대해 압수수색영장 집행에 나섰으나 당직자 등의 반발로 장기간 대치 끝에 무산됐다. 영장을 보여주고 필요한 정보를 확인하는 방식이었지만 당 측은 협조를 거부했다. 특검팀은 국민의힘 권성동 의원 등이 연루된 통일교·건진법사 청탁 의혹을 수사하고 있다. 건진법사 전성배씨와 통일교 핵심 간부 윤모씨는 교인들을 대거 국민의힘 당원으로 가입시켜 2023년 3월 치러진 국민의힘 당대표 선거와 지난해 4월 총선에 개입하려 했다는 의혹을 받는다. 특검팀은 전씨와 윤씨가 권 의원을 당 대표로 밀기 위해 통일교 교인들을 당원으로 가입시키려 한 정황을 파악했다. 당시 윤씨는 문자메시지로 전씨에게 "윤심은 정확히 무엇입니까", "전당대회에 어느 정도 규모로 필요한가요"라고 물었고, 전씨는 "윤심은 변함없이 권"이라며 권 의원을 지목한 것으로 파악됐다. 특검팀은 해당 의혹의 사실관계를 확인하기 위해 2021년 12월부터 지난해 4월 사이 당원 명단을 확인할 필요가 있다는 입장이다. 앞서 특검팀은 지난달 통일교 본부 등에 대한 압수수색에서 통일교인 100만명의 명부를 확보한 것으로 알려졌다.
2025.08.18
김건희특검, '건진법사 청탁의혹' 통일교 서울본부 2차 압수수색 김건희 여사 관련 의혹을 수사하는 민중기 특별검사팀이 '건진법사 청탁 의혹'과 관련해 통일교 서울본부에 대한 2차 압수수색에 나섰다. 특검팀은 21일 오전 서울 용산구의 통일교 서울본부에 수사관을 보내 문서 자료와 PC 내 파일 등을 확보 중이다. 앞서 특검팀은 18일 서울 본부를 비롯해 가평 설악면의 통일교 본부, 사업체 자금을 관리하는 통일유지재단 등 각종 교단 시설을 동시다발로 압수수색한 바 있다. 특검팀은 당시 서울본부에서 확보한 증거물에 대한 포렌식 작업을 끝내지 못해 이날 추가 압수수색을 진행하는 것으로 전해졌다. 특검팀은 확보한 물증을 토대로 통일교 측이 건진법사 전성배씨를 통해 김 여사에게 부정한 청탁을 넣었다는 의혹을 파악할 계획이다. 전씨는 2022년 4∼8월께 윤씨로부터 '김 여사 선물용' 다이아몬드 목걸이, 샤넬백 등과 교단 현안 청탁을 받은 후 이를 김 여사에게 전달해줬다는 의혹을 받는다. 청탁 내용에는 통일교의 캄보디아 메콩강 개발사업 지원, 통일교의 YTN 인수, 유엔 제5사무국 한국 유치, 대통령 취임식 초청 등이 거론됐다.
2025.07.21
금융당국, 주가조작하면 '원스트라이크 아웃'…부실 상장사 퇴출 주식시장의 불공정거래를 막기 위해 금융위원회, 금융감독원, 한국거래소에 분산된 조사·심리 기능을 합친 '주가조작 근절 합동대응단'이 신설된다. 금융위원회는 9일 서울 여의도 한국거래소에서 금감원, 거래소와 함께 '자본시장 불공정거래 근절 실천방안'을 발표하고 불공정거래 초동 대응을 강화하기 위해 이달 30일을 목표로 주가조작 근절 합동대응단을 설치하겠다고 밝혔다. 앞서 불공정거래 대응체계는 한국거래소(심리), 금융위·금감원(조사) 등 각 기관에 분산돼 있었다. 각 기관의 조사 권한에도 차이가 있어서 긴급·중요 사건이 발생했을 때 유기적인 대응이 되지 않는 한계가 있었다. 금감원 부원장을 단장으로 하는 합동대응단은 거래소에 사무실을 두고 긴급·중요사건을 초기부터 함께 조사하며 신속 심리, 강제조사 필요성을 협의한다. 인원은 금융위 4명(강제조사반), 금감원 18명(일반조사반), 거래소 12명(신속심리반) 등 34명으로 구성되고 향후 50명 이상으로 늘어날 예정이다. 거래소는 시장감시와 이상거래 혐의 종목 불공정거래 해당 여부 심리를 맡고, 금감원은 자금 추척과 자료분석 등 임의조사를 한다. 금융위는 임의조사에 더해 현장조사, 포렌식, 압수수색 등 강제조사를 수행한다. 불공정거래 전력이 있는 사례, 대주주 등이 미공개 중요 정보를 이용한 사례, SNS·허위보도를 악용하는 사례가 합동대응반의 주된 업무 분야가 될 것으로 전망된다. 합동대응단은 한시적인 조직 형태로, 당국은 일단 파일럿 형태로 운영하고 성과를 본 후 상설화 여부를 판단한다는 입장이다. 이윤수 증선위 상임위원은 "평균적으로 15개월에서 2년까지 걸렸던 심리·조사 과정을 6∼7개월 정도로 줄일 수 있도록 노력하겠다"며 "심리·조사 과정 효율을 극대화해 주가 조작범은 반드시 처벌된다는 인식이 뿌리내리도록 할 것"이라고 강조했다. 거래소의 시장감시체계도 개선된다. 계좌기반에서 개인기반으로 전환되고, 시장감시시스템에는 인공지능(AI) 기술이 적용된다. 현재 거래소는 개인정보를 활용하지 않고 각 계좌를 기반으로 감시하고 있어서 동일인이 여러 증권사에 계좌를 개설하는 경우엔 탐지망에 걸리지 않는 경우가 있다. 금융당국은 거래소가 주민등록번호를 가명처리한 가명정보 계좌와 연계해 개인기반으로 시장감시 업무를 수행할 수 있도록 10월 중 자본시장법 시행령을 개정하고, 시장감시시스템을 개선할 예정이다. 금융당국은 이에 따라 감시 대상이 39% 감소하고 동일인 특정 및 시세관여율, 자전거래 여부 등도 더욱 쉽게 파악할 수 있을 것으로 예상한다. 금융당국은 불공정거래·불법공매도·허위공시에는 '원스트라이크 아웃' 원칙을 철저히 적용하겠다고 강조했다. 최근 불공정거래 행위에 대한 엄정 제재의 일환으로 지급정지, 과징금, 금융투자상품 거래 및 임원선임·재임 제한명령 등이 도입됐지만 아직 적용된 바는 없다. 이윤수 상임위원은 "제재 수단에 법적 근거는 마련돼 있지만 실효성 있게 써본 적이 없어서 세부 기준을 마련하는 중"이라며 "합동대응단을 중심으로 '원스트라이크 아웃' 적용 사례가 조만간 시장에 나올 수 있게 하겠다"고 말했다. 당국은 불법행위에 이용됐고 불법이익이 남아있는 것으로 상당히 의심되는 계좌가 조사 단계에 발견된 경우 신속히 지급정지 절차를 밟고, 혐의자에게 과징금(최대 부당이득의 2배)을 부과해 범죄수익을 환수하고 불공정거래 유인을 제거할 예정이다. 중대 불공정거래 행위에 연루된 대주주·경영진 등은 적극적으로 대외 공표한다. 중대한 공매도 위반행위에는 최고 수준(공매도 주문금액의 100%)의 과징금을 부과하고, 영업정지 등 기관제재와 금융투자상품 거래 제한을 활용한다. 금융당국은 또 주식시장 성장을 저해하는 부실 기업을 신속 퇴출한다. 10일부터 시가총액·매출액 등 상장유지 기준을 단계적으로 상향하고 2년 연속 감사의견 미달시 바로 상장폐지 되도록 요건을 강화한다. 현재 3심제인 코스닥 상장사 퇴출 심사단계는 2심제로 축소한다. 한편 이 대통령은 지난달 11일 한국거래소를 찾아 "자본시장 활성화를 위해 공정하고 투명한 시장 질서를 확립해 시장의 신뢰를 확보하는 게 중요하다"며 “대한민국 주식시장에서 장난치다가는 패가망신한다는 걸 확실하게 보여주겠다”고 말한 바 있다.
2025.07.09
SKT, 2021년 해커 공격 받고도 자체 대응하다 문제 키워 SK텔레콤 해킹 사고에 대한 민관 합동 조사단의 최종 조사 결과 해커의 공격은 2021년부터 이뤄졌다는 점이 밝혀졌다. 또 SKT가 2022년 자체 조사로 침해 사실을 발견하고도 제대로 조치하지 않아 문제를 키운 사실이 드러났다. 과학기술정보통신부를 주축으로 하는 민관 합동 조사단은 4일 정부서울청사에서 4월 23일 조사단을 구성한 이래 진행한 SKT 서버 4만2600대에 대한 전수 조사 결과를 최종 발표했다. 해커가 SKT 내부 서버에 최초로 악성코드를 심은 시점은 2021년 8월 6일로 파악됐다. 중간 조사 결과 발표에서 2022년 6월이 최초 감염 시점으로 지목됐지만 이보다 약 10개월가량 이른 시점이다. 해커는 외부 인터넷과 연결된 시스템 관리망 내 서버에 접속해, 다른 서버에 침투하려 원격제어, 백도어 기능 등이 포함된 악성코드를 설치했다. 당시 공격을 받은 서버에 다른 서버들을 관리할 수 있는 아이디, 비밀번호 등 계정 정보가 암호체가 아닌 평문으로 저장돼 있었다. 핵심 서버들에 접근할 수 있는 정보를 얻어낸 해커는 통신사의 핵심 네트워크(코어망)라 할 수 있는 음성통화인증 관리 서버(HSS)에 같은 해 12월 접속한 뒤 BPF도어(BPFDoor)라는 은닉성이 강한 리눅스용 악성 코드를 심어 서버를 제어하기 시작했다. 해커가 SKT 내부 서버에 심은 악성코드는 BPF도어 계열 27종을 포함해 모두 33종으로 파악됐다. 타이니쉘 3종, 웹쉘, 오픈소스 악성코드인 크로스C2, 슬리버 각각 1종이다. 해커는 4월 18일 HSS 3개 서버에 저장된 유심정보 9.82GB(기가바이트)를 외부로 빼돌렸다. 민관 합동 조사단은 가입자 전원의 유심(USIM) 정보에 해당하는 분량이라고 밝힌 바 있다. 조사단은 "이번 침해사고와 연관성은 없지만 공급망 보안 관리 취약으로 악성코드 1종이 SK텔레콤 서버 88대에 유입된 것을 확인했다"라고 밝히기도 했다. SK텔레콤 협력업체가 개발한 소프트웨어가 악성코드에 감염돼 있었는데 이 소프트웨어가 SKT 서버에 설치되면서 코드가 유입된 것이다. 이 악성코드가 실행된 흔적이 없어 이로 인한 정보 유출 등의 피해가 없었고 SKT 서버를 직접 공격한 해커 행위와는 무관해 보인다. 조사단 관계자는 "외부에서 제작한 소프트웨어를 SKT가 설치하면서 보안 검수를 제대로 하지 않은 점은 공급망 보안 관리에 문제점으로 볼 수 있다"고 지적했다. 한편 SK텔레콤은 해커가 사이버 공격을 감행하는 동안 특이점을 발견하고도 당국에 알리지 않은 채 자체 해결책으로 대응하다 문제를 키운 것으로 조사됐다. 조사단은 SK텔레콤이 2022년 2월 23일 특정 서버에서 비정상적인 재부팅을 발견하고 자체 점검하는 과정에서 악성코드에 감염된 서버를 발견해 조치했으나 이 과정에서 신고 의무를 지키지 않아 3천만원 이하 과태료 부과 대상이라고 밝혔다. SK텔레콤은 4월 해킹 피해가 최초로 알려졌을 당시에도 신고 기한인 24시간을 넘겨 한국인터넷진흥원(KISA)에 신고해 늑장 신고 논란이 일었다. 2022년 당시 점검 과정에서 SK텔레콤은 핵심 서버인 HSS 관리서버에 비정상 로그인 시도가 있었던 정황을 발견했다. 하지만 로그기록 6개 중 1개만 확인해, 공격자가 서버에 접속한 기록은 발견하지 못한 것으로 조사됐다. 조사단은 "이에 따라 SKT는 정보 유출이 발생한 HSS에서 BPF도어 악성코드가 심어졌던 것을 확인하지 못했고 당국에 신고도 하지 않아 정부 조사로 악성코드를 발견, 조치하는 작업도 이뤄질 수 없었다"고 지적했다. 조사단은 또 SK텔레콤이 시스템 관리망 내 서버의 계정 비밀번호를 변경하지 않았다고 밝혔다. 비밀번호 만료일이 설정되지 않았고 변경 이력도 없었다는 것이다. 조사단은 "비밀번호를 종이, 파일, 모바일 기기 등에 기록하는 것을 지양하고 부득이하게 할 경우 암호화 등의 보호 대책을 적용하라는 것이 정보보호 및 개인정보보호 관리체계 인증 기준"이라며 SKT에 서버 접속을 위한 다중 인증 체계 도입을 요구했다. 또 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값 암호화를 세계이동통신사업자협회(GSMA)가 권고하며 KT, LG유플러스 등은 하고 있지만 SKT만 암호화하지 않은 점, 4월 해킹이 드러나며 자료 보전 명령을 받았음에도 서버 2대를 포렌식 분석이 불가능한 상태로 조치해 제출한 점 등도 지적했다. 조사단은 "자료 보전 명령 위반과 관련해서는 수사기관에 수사를 의뢰할 예정"이라고 밝혔다. 조사단은 ▲ 통신기록(CDR)을 임시 저장 서버에 저장한 점 ▲ 정보보호 최고책임자(CISO)가 코어망 등 네트워크 영역이 아닌 고객관리망 등 정보기술(IT) 영역의 보안 관리만 담당한 점도 SKT 보안의 미흡한 점으로 꼽았다. 재발 방지 대책으로 서버 등 네트워크가 연결되는 장치에서 일어나는 모든 활동을 감지·분석하는 EDR 설루션 및 백신 적용, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기 점검, CISO를 최고경영자(CEO) 직속 조직으로 격상 등을 요구했다. 조사단은 유심 복제에 악용될 수 있는 단말기식별번호(IMEI)나 개인정보가 평문으로 임시 저장된 서버들을 발견했지만, 정밀 분석 결과 방화벽 로그 기록이 남아있는 기간인 지난해 12월 3일부터 사고 발견 직후까지 유출 정황은 없었다고 밝혔다. 하지만 악성코드 감염 시점인 2022년 6월부터 지난해 12월 2일까지는 로그기록이 없어 유출 여부를 확신하기 어렵다. 조사단은 "SKT가 자체 보안규정에 따라 로그기록을 6개월 이상 보관해야 하지만 방화벽 로그를 4개월간만 보관해 중요 정보의 유출 여부를 면밀히 조사하는 데 한계가 있었다"면서 로그기록의 6개월 이상 보관, 중앙로그관리시스템 구축 등을 요구했다. SKT가 서버 등 전체 자산 종류, 규모, 유휴·폐기 여부를 체계적으로 관리하지 않고 있었던 점과 타사 대비 정보보호 인력 및 투자 규모가 부족한 점도 문제로 꼽았다. 과기정통부는 SK텔레콤이 보안 관리에서 과실이 있었다며 의무 가입 기간이 남은 이용자의 계약 해지 시 위약금 면제를 요구했다. 또 SK텔레콤에 재발 방지 대책에 따른 이행계획을 이달 내 제출하라며 이행 여부를 올해 말 점검하겠다고 밝혔다.
2025.07.04
尹·홍장원·김봉식 비화폰 통화기록 '원격삭제' 정황…수사 개시 윤석열 전 대통령과 홍장원 전 국가정보원 1차장, 김봉식 전 서울경찰청장의 비화폰을 통한 통화 기록이 비상계엄 사태 이후 원격으로 삭제된 정황이 포착됐다. 경찰 특별수사단 관계자는 이날 정례 브리핑에서 경호처로부터 임의제출받은 비화폰 서버 기록을 분석하는 과정에서 이런 정황을 발견했다고 밝혔다. 경찰은 증거인멸 혐의와 관련한 수사를 개시했다. 아직 구체적인 피의자를 특정한 단계는 아니라고 밝혔다. 윤 전 대통령, 홍 전 차장, 김 전 처장과 관련된 사용자 정보가 전부 원격 삭제된 만큼 경찰은 현재 관련 기록을 복구하기 위한 포렌식을 진행하고 있다. 원격 삭제된 시점은 비상계엄 사태 3일 뒤인 12월 6일이다. 당시 윤 전 대통령이 홍 전 차장을 경질했다는 언론 보도가 나왔다. 경찰은 현재 윤 전 대통령 체포 방해 혐의(특수공무집행방해)와 관련해 비화폰과 업무폰 등 19대를 확보했다. 여기에는 윤 전 대통령 휴대전화도 포함됐다. 경찰 관계자는 "일반 휴대전화와 비교하면 초기화와 같은 느낌으로 보면 된다"며 비화폰을 관리하던 경호처가 삭제했지만, 지시 주체는 확인 중이라고 밝혔다. 경찰과 경호처는 3주가량 합동 포렌식을 진행해 비화폰 서버 기록 대부분을 복구했다. 경호처는 수사에 필요한 자료를 선별해 경찰에 임의제출했다. 계엄 당일인 작년 12월 3일부터 올해 1월 22일까지 기록이 포렌식 대상이었다. 비화폰 서버 기록은 2일마다 자동으로 삭제돼 포렌식이 필요했다. 경찰은 내란 혐의 수사와 관련해 지난해 3월 1일부터의 비화폰 서버 기록을 추가 임의 제출받을 예정이다. 포렌식은 이미 이뤄졌다. 경찰은 현재 비상계엄 선포 당일 국무회의와 관련해 내란 혐의로 입건된 한덕수 전 국무총리, 이상민 전 행정안전부 장관 등을 수사 중이다. 윤 전 대통령의 내란 우두머리 관련 혐의 재판은 이미 진행 중인 만큼 추가 혐의가 포착될 경우 압수수색영장 발부 등을 법원에 적극 요청할 예정이다.
2025.05.26
SKT, 이미 3년전 해커가 악성코드 심어둔 듯…개인정보 서버 공격받아 SK텔레콤 해킹 사태로 가입자 전원의 유심(USIM) 정보뿐 아니라 개인정보가 관리되는 서버도 공격을 받은 것으로 드러났다. 해커가 악성코드를 심은 시점이 3년 전인 2022년 6월 15일로 특정됐다. 해커가 남긴 기록(로그)이 없는 기간에는 단말기 식별번호(IMEI) 등 핵심 정보가 유출됐을 가능성도 있다. SK텔레콤 해킹 사건을 조사 중인 민관 합동 조사단은 19일 정부서울청사에서 2차 조사 결과를 발표했다. 1차 조사 결과에서 악성 코드에 감염된 서버 5대 중 홈가입자서버(HSS) 3대에서 가입자 식별번호(IMSI), 인증키 등 유심 정보 4종을 포함한 25종의 정보 유출이 확인됐다. 여기에 2차 조사 결과 감염 서버가 18대 더 발견됐다. SKT에서 해킹 공격을 받은 서버는 총 23대로 늘었다. 15대는 포렌식 등 정밀 분석이 끝났고, 나머지 8대에 대해서는 분석이 진행 중이다. 감염이 확인된 서버 중 2대는 개인정보가 일정 기간 임시로 관리되는 서버로 조사됐다. 1차 조사 결과에서 가능성이 없다고 보였던 개인정보 유출 가능성이 가시화된 셈이다. 빠져나갔을 수 있는 개인정보는 이름, 생년월일, 전화번호, 이메일 등 휴대전화 가입 시 남기는 정보들로 추정된다. 조사단은 이 서버에 저장됐던 정확한 개인정보의 종류는 개인정보보호위원회 조사 대상이라고 밝혔다. 2대의 서버는 통합고객인증 서버와 연동되는 기기들로 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 개인정보를 저장하고 있었다. 탈취되면 휴대전화 복제와 이상 금융거래에 악용될 수 있는 것으로 우려되는 단말기 고유식별번호(IMEI)가 유출됐을 가능성도 배제할 수 없다. 조사단은 조사 초기 IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검해 감염되지 않음을 확인했다고 밝힌 바 있다. 이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 총 29만2831건의 IMEI 등이 포함되고 있음을 확인했다고 덧붙였다/ 조사단은 2차례에 걸쳐 정밀히 조사한 결과 방화벽에 로그 기록이 남아있는 지난해 12월 3일부터 지난 달 24일까지 기간에는 데이터 유출이 없었다고 밝혔다. 그러나 최초 악성코드가 설치된 시점인 2022년 6월 15일부터 지난해 12월 2일까지는 로그 기록이 남지 않아 유출 여부를 확인하지 못했다. 이 기간의 IMEI 등 유심 정보 및 개인정보 유출 여부는 향후 정밀 포렌식 작업을 거쳐야 한다. 하지만 로그 기록 삭제로 파악이 어려울 수 있다. 조사단은 개인정보가 들어 있는 문제의 서버 해킹을 확인한 시점인 11일 SK텔레콤에 자료 유출 가능성을 자체 확인하고 이용자 피해를 막을 조치를 강구할 것을 요구했다. 또 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라 보고 지난 13일 개보위에 개인정보 포함 서버의 해킹 사실을 통보하는 한편 서버 자료를 공유했다. 1차 조사에서 유출이 파악된 유심 정보의 규모는 9.82GB로, 가입자 식별번호(IMSI) 기준 2695만7749건에 해당한다. SK텔레콤 가입자와 SKT 회선을 쓰는 알뜰폰 가입자 총수를 합하면 2500만명으로 비슷한 규모다. 1차 조사에서 밝혀진 BPF도어(BPFDoor)라는 중국계 해커 그룹이 주로 사용하는 수법에다 웹셀이라는 신종 수법을 쓴 것으로 확인됐다. 기존에 공개한 악성코드 12종에 웹셀 등을 포함해 현재까지 발견된 악성코드는 모두 25종이다. 조사단은 지난 14일까지 SK텔레콤의 리눅스 서버 3만대를 총 4차례 점검했다. 다음 달 말까지 윈도 서버와 기타 장비 등으로 점검 대상을 확대한다.
2025.05.19
