2025년 SKT 서버 해킹 사건: 추가 악성코드 발견

2025년 SKT 서버 해킹 사건: 추가 악성코드 발견

2025년 5월 4일 기준으로 SKT 서버 해킹 사건과 관련된 추가 악성코드 발견에 대해 정리해보려고 합니다.

1. 추가 악성코드 최신 발견 현황

한국인터넷진흥원(KISA)은 5월 3일 공식 위협정보 공지를 통해, 기존에 발견된 BPFDoor 계열 4종 외에 8종의 변종 악성코드를 추가로 발견했다고 발표했습니다. 대표적으로 dbus-srv, inode262394, smartadm, rad 등이 포함됩니다.

이 악성코드들은 리눅스 시스템을 표적으로 하며, 시스템 프로세스 위장, 파일 시스템 inode 구조 은닉, 루트킷 기능, 백도어 설치, 네트워크 스니핑 등 고도화된 은폐 및 침투 기능을 갖추고 있습니다.

특히, 지속적 침입용 백도어로 흔적을 거의 남기지 않아 정보 유출 피해 범위가 더 커질 수 있다는 우려가 제기되고 있습니다.

---

2. 주요 악성코드 기능 요약

악성코드 이름	주요 기능 및 특징
dbus-srv	dbus-daemon 위장, 시스템 정보 수집, 원격 명령 실행, 암호화·난독화, C2 통신
inode262394	inode 구조 위장, 루트킷 기능, 시스템 콜 후킹, 권한 상승, 은닉
smartadm	시스템 관리 도구 위장, 백도어 설치, 은폐, 외부 서버와 통신
rad	네트워크 트래픽 감청(스니핑), 자가 삭제, 크론잡 통한 지속성 확보

이외에도 gm, hald-addon-volume, hpasmmld 등 정상 시스템 파일명과 유사한 명칭을 사용해 탐지 회피를 시도합니다.

 

KISA 보호나라&KrCERT/CC

 

KISA 보호나라&KrCERT/CC

---

3. 피해 범위 및 추가 우려

이번에 추가로 발견된 악성코드들은 최초 공격이 확인된 HSS 서버 외 다른 내부 서버에서도 발견된 것으로, 피해 범위가 당초 예상보다 확대될 가능성이 높아졌습니다.

백도어 악성코드의 특성상, 장기간 탐지되지 않고 내부에 잠복해 있었을 가능성도 제기되고 있습니다.

---

4. 침투 경로 및 공격 배경

전문가들은 VPN 솔루션 취약점(특히 Ivanti VPN의 CVE-2025-0282, CVE-2025-22457)을 통한 원격 코드 실행이 최초 침입 경로로 활용됐을 가능성을 높게 보고 있습니다.

중국 연계 해커 그룹의 소행 가능성이 유력하게 거론되고 있으며, 해커들은 스폰키메라(SPAWNCHIMERA) 등 고급 공격 도구를 사용한 것으로 알려졌습니다.

---

5. 대응 및 권고 사항

KISA는 모든 기관 및 기업에 대해 해시값 기반 탐지, 시스템 점검, 침해 흔적 확인을 강력히 권고하고 있습니다.

SKT는 현재 최고 단계의 비상경영체제에 돌입했으며, 유심 교체 등 후속 조치를 진행 중입니다.

---

 

이번 SKT 해킹 사건은 BPFDoor 계열의 8종 추가 악성코드가 확인되며 피해 범위가 더욱 확대될 우려가 커졌습니다. 악성코드들은 리눅스 시스템을 정교하게 은닉·침투하며, VPN 취약점 등 외부 소프트웨어의 보안 허점을 노린 고도화된 공격이었습니다. KISA와 SKT는 추가 피해 방지와 조기 탐지를 위한 전방위 대응에 나서고 있습니다.