KT 서버 해킹 사고 분석 – ‘전사 서버 침해 6건 보고’

By PLURA

요약 한 줄: KT는 2025년 9월 18일 23:57 한국인터넷진흥원(KISA)에 서버 침해 흔적 4건, 의심 정황 2건을 신고했습니다. 공개된 항목에는 Windows 서버 침투·SMB 측면 이동, VBScript 기반 RCE, ‘Smominru’ 봇 감염, Linux 계정·SSH 키 조작, 원격지원(알서포트) 서버 의심 계정 및 비밀키 유출 등이 포함됩니다. 데이터 유출 여부는 아직 확정되지 않았습니다. (한국경제)

핵심 맥락: 앞선 롯데카드 WebLogic 사건처럼, RCE(원격 코드 실행)을 발판으로 웹셸(지속성) → 내부 이동으로 이어지는 전형적인 공격 패턴이 재현되고 있습니다. 차이는 KT 건서버 전반(Windows·Linux·원격지원)다중 축(Execution·Credential/Key·Lateral Movement) 을 동시에 건드렸다는 점입니다.

KT 사건

🕒 타임라인(확정 사실 위주)

  • 9월 15일(월): 외부 보안업체 전수 점검 결과 보고서를 수령 → 내부 검증 착수. (Daum)
  • 9월 18일(목) 23:57: KISA에 침해 흔적 4건 + 의심 정황 2건 신고. (한국경제)
  • 9월 19일(금): 정부·KISA 합동 브리핑—어느 서버인지, 유출 여부는 정밀 분석 필요 입장. (Daum)
  • 9월 21일(일): 추가 보도—Windows·Linux·원격지원 서버까지 아우르는 침해 항목 상세 공개. (Daum)
  • 9월 22일(월): 폐기된 서버의 로그 백업이 남아있는 정황 보도(연합뉴스). (Yonhap)
  • 9월 24일(수, 예정): 국회 과방위 해킹 사태 청문회(KT·롯데카드 등 증인 채택). (Hani)

신고 지연 논란: KT가 15일 인지 → 18일 신고로 “24시간 이내 신고” 의무 위반 논란이 제기됨(법 해석은 당국 판단 사안). (Digital Times)

🧪 공개된 침해 4건·의심 2건 기술 분석 (MITRE ATT&CK 매핑)

🔹 침해 흔적(Confirmed)

  1. Windows 서버 침투 후 측면 이동 시도
  • MITRE: Lateral MovementT1021.002 (SMB/Windows Admin Shares), TA0008
  • 의미: 초기 침투 지점 확보 후 Windows 도메인/서버로 SMB 기반 이동 시도 정황. 어드민 공유(C$, ADMIN$) 접근, 세션 재사용, 로컬 관리자 계정 남용 가능성. (Daum)
  1. ‘Smominru’ 봇 감염
  • MITRE: Resource HijackingT1496, Exploitation of Remote ServicesT1210 (일반적 전파 특성)
  • 의미: 모네로 채굴로 유명한 봇넷. 과거 MS17-010(EternalBlue) 악용 사례가 널리 보고됨. KT 건에서 동일 취약점 악용이 확인된 것은 아님(미확정). (Daum)
  1. VBScript 기반 원격 코드 실행 및 민감정보 탈취
  • MITRE: ExecutionT1059.005 (Visual Basic), Collection/ExfiltrationTA0009/TA0010
  • 의미: wscript/cscript 실행, AMSI 우회/스크립트 난독화 가능. 이벤트 로그 4688/4104, Sysmon(1/7/11)로 흔적 추적 필요. ‘민감정보 탈취’는 정황 보고 수준—규모/대상은 미확정. (Daum)
  1. Metasploit 통한 SMB 인증 시도 및 측면 이동 성공
  • MITRE: Lateral MovementT1021.002, Credential AccessT1110/T1550 (인증·재사용 추정)
  • 의미: 툴·프레임워크 아티팩트(UA, Pipe, Named Service 등) 기반 식별 가능. EDR/넷플로우로 동시간대 인증 실패→성공 전환 패턴 확인 필요. (Daum)

🔹 의심 정황(Suspected)

A) Linux ‘sync’ 계정 조작 & ~/.ssh/authorized_keys 생성

  • MITRE: PersistenceT1098 (Account Manipulation), T1098.004 (SSH Authorized Keys)
  • 의미: 패스워드 없는 키 로그인 기반 영속성 확보 시나리오. PermitRootLogin no, PasswordAuthentication no 등 점검 필수. (Daum)

B) 원격지원(알서포트) 서버 의심 계정 생성 & 비밀키 유출

  • MITRE: Valid AccountsT1078, ExfiltrationTA0010
  • 의미: 원격지원 게이트웨이 장악 시 전사 원격접속 경로로 악용 가능. 서버 측 키/토큰 전면 교체·회수 필요. (벤더 취약성 단정 아님: 계정·키 관리 이슈일 수도 있음) (Daum)

데이터 유출 여부: 정부·KISA는 침해 서버·유출 확인에 추가 분석 필요 입장. KT도 “어떤 정보가 유출됐는지 미확인”으로 선 그음. (Daum)

🧩 왜 기본 차단 룰이 있는데 뚫렸나 — WAF/EDR 운영 가설

전형적 RCE→웹셸→Lateral Movement 패턴은 WAF 기본 룰EDR 표준 탐지로 상당 부분 초기에 차단 가능합니다. 그럼에도 사고가 발생한 이유로 아래 운영 실패 모드가 거론됩니다(가설).

  1. WAF 비경유 경로: LB 헬스체크·관리 포트, 대체 서브도메인, 직접 IP(7001/7002) 등 우회 루트.
  2. 모니터링 모드/화이트리스트 과다: 탐지 전용 운용 또는 SOAP/XML에 관대한 예외.
  3. 정규화/디코딩 미적용: GZIP/Chunked, 특수 인코딩 등 우회 페이로드 통과.
  4. 정책 불일치: 블루/그린·DR 전환 시 정책 미동기화.
  5. 룰 갱신 지연: 테스트 실패 후 롤백·방치.
  6. 알림 미연계: 차단/탐지 신호가 관제·EDR·티켓으로 이어지지 않음.

즉시 점검(핵심 4개)

  1. 모든 외부 경로 WAF 경유 보장,
  2. SOAP/XML 차단 룰 적용·정규화 활성,
  3. 예외/화이트리스트 재점검,
  4. 블루/그린/DR 정책 동기화 & 룰 최신화.

🔄 사건 업데이트 (9월 22일) — 폐기 서버 로그 백업 확인 정황

연합뉴스 보도에 따르면, 폐기된 서버의 로그 백업이 남아있는 정황이 확인되었습니다. 이는 초기 주장과 달리 디지털 증거(로그/백업 이미지)가 여전히 확보 가능할 수 있음을 의미합니다. (Yonhap)

Forensic & 거버넌스 시사점

  • 증거보전(Chain of Custody) 재개 가능성: 백업 볼륨/테이프/스냅샷에 동시점 아티팩트 존재 개연성.
  • 로그 스코프 확대: SIEM 원본, 저장소 스냅샷(예: NFS/오브젝트), 원격지원 게이트웨이 감사 로그까지 전사 보전 명령 필요.
  • WORM/보존정책: 백업/오브젝트 버킷에 불변 보존(Write-Once-Read-Many) 임시 강제.
  • 공동 해시 체인: 수사·감독기관과 파일별 SHA-256/타임스탬프 공유.

🧭 공격 개념도 (정황 기반)

sequenceDiagram
    participant A as 공격자
    participant W as Windows 서버
    participant L as Linux 서버
    participant R as 원격지원 서버
    participant D as 데이터/내부자원

    Note over A,W: 초기 침투 지점 확보(불명, 내부 검증 중)
    A->>W: VBScript RCE 시도 (wscript/cscript)
    W-->>A: 세션 생성, 명령 실행

    Note over W: Smominru 감염 이력
    W->>W: SMB 측면 이동 (Metasploit 사용)
    W->>L: SSH 키 투입/authorized_keys 조작(영속성)

    A->>R: 원격지원 서버 의심 계정 생성/키 유출(정황)
    W->>D: 민감 자원 접근 시도(규모/유출 미확정)

(도식은 공개 정황을 바탕으로 한 개념도이며, 실제 네트워크 토폴로지와 다를 수 있습니다.) (Daum)

🛠 즉시 이행 체크리스트(우선순위)

A. Windows 내부 이동 차단

  • SMB Sign/Encrypt 강제, Admin Shares(C$, ADMIN$) 접근 관리, LAPS/Entra LAPS로 로컬 관리자 랜덤화·주기 회전.
  • wscript/cscript 차단(앱제어), AMSI 강제, PowerShell Constrained Language, WDAC/SR로 스크립트 실행 통제.
  • 이상 인증(SMB/WinRM) 룰: 동시간대 실패→성공 전환, 관리자 교차로그인, 비업무시간 루트 이동.

B. Linux 영속성 제거

  • ~/.ssh/authorized_keys 전수 검증·키 회수/회전, PermitRootLogin no, PasswordAuthentication no, U2F/FIDO2 우선.
  • sync 등 시스템 계정 로그인 금지/쉘 제거.

C. 원격지원/게이트웨이

  • 계정·키 전면 교체, MFA 필수, 허용 IP/디바이스 등록제, 세션 레코딩·감사.
  • 관리자 콘솔 접근은 Bastion(프록시형) 뒤로 집약, 비정상 계정·키 생성 알림 필수.

D. 탐지·관측 강화

  • 스크립트 엔진(4688/4104, Sysmon 1/7/11), SMB/WinRM 인증 텔레메트리세션 단위 상관 분석.
  • 키/토큰/비밀정보 조회·다운로드 이벤트에 UEBA 적용.
  • 전사 취약 자산 스냅샷: EoL/미패치 Windows, 인터넷 노출 원격서비스 즉시 차단·격리.

E. 거버넌스·신고

  • 사고 인지 기준·증빙(타임스탬프·담당자) 표준화, 24시간 내 보고 SLA/런북 재정의, 프레스라인/기술라인 분리. (Digital Times)

⚖️ 사실관계 주의(불확실/미확정)

  • 초기 침투 기법·루트서버: 정부·KISA 정밀 분석 대기. 유출 규모/범위도 미확정. (Daum)
  • Smominru 관련 취약점: 일반적으로 EternalBlue 악용 보고가 많지만, KT 건 동일 여부는 확인되지 않음(가능성 언급). (Daum)

🌟 PLURA-XDR 관점 대응

  • 스크립트/웹셸/봇 행위 실시간 차단: VBScript/PowerShell/명령해석기 + 파일리스 지표 상관 분석 차단/격리. (MITRE: T1059.005, T1505/T1546)
  • 내부 이동 탐지: SMB/WinRM/LDAP 인증·세션 메트릭과 EDR 이벤트 결합, 동작 기반 Lateral Movement 탐지. (T1021, TA0008)
  • 키·계정 거버넌스: authorized_keys 변경·신규 계정·권한상승 이벤트를 실시간 규칙으로 튜닝 없이 식별. (T1098, T1078)
  • 대응 오케스트레이션: IOC 감지 시 계정 잠금·키 회수·네트워크 분리·원격지원 세션 종료 자동화.

📑 참고·교차검증 출처

  • KT, 9/18 23:57 KISA 신고(침해 4·의심 2) — 한국경제, 동아일보. (한국경제)
  • 기술 항목 상세(Windows/Smominru/VBScript/Metasploit, Linux·원격지원 정황) — 디지털타임스(다음 포털). (Daum)
  • 동일 내용 원문(디지털타임스) — dt.co.kr. (Digital Times)
  • KISA: 침해 서버·유출 ‘추가 분석 필요’ — 다음 뉴스(연합/경향 보도 라인). (Daum)
  • 신고 지연(인지 9/15→신고 9/18) 논란·24시간 규정 — 디지털타임스. (Digital Times)
  • 국회 과방위 청문회(9/24) 증인 채택 — 한겨레·연합뉴스TV. (Hani)
  • 연합뉴스(9/22) — 폐기 서버 로그 백업 정황 — 원문: 연합뉴스 기사

마지막으로

이번 건은 WAF 중심의 요청(Request) 관점만으로는 서버 내부 이동·계정·키 조작·원격지원 경로 악용을 막기 어렵다는 사실을 재확인시켰습니다.
실행(Execution)·인증(Authentication)·키(Key)·세션(Session)·이동(Movement) 5축을 한 화면에 올려 상관·차단 자동화를 설계하는 것이 재발 방지의 출발점입니다.

Tags