SKT 해킹 이슈 조사 - Ivanti VPN

누가?

신원 밝혀지지 않음 

어떻게?

1. VPN 취약점 악용해 내부망 진입

- Ivanti VPN취약점 악용 :

Ivanti VPN : Ivanti 회사에서 만든 VPN 솔루션, 회사 내부망에 접속할 때 보안 연결을 위해 Ivanti VPN 사용  

취약점 번호 : CVE-2025-0282, CVE-2025-22457 이용해 내부망에 침투, 핵심 서버(홈 가입자 서버 HSS)에 악성코드 설치

홈 가입자 서버 외에도 내부망에 있던 3종의 서버 5대 영향

 

- CVE-2025-0282 

  : 버퍼 오버플로우 문제로 인해 원격 코드 실행 가능 

- CVE-2025-22457

 : 공격자가 과도하게 긴 X-Forwarded-For 헤더를 포함한 조작된 HTTP 요청을 전송해 버퍼 오버플로우를 유발하고, 이로 인해 원격 코드를 실행 가능

X-Forwarded-For 헤더 사용 이유 : 웹 요청이 서버 도착 전에 프록시를 거치면 서버는 프록시 IP주소를 볼 수 있음. X-Forwarded-For 헤더를 사용해서 클라이언트의 IP주소를 확인 가능

예시)

POST / HTTP/1.1
X-Forwarded-For: 1111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111

 

스택 버퍼 오버플로우 : 프로그램이 할당된 버퍼 영역을 넘어 더 많은 데이터를 쓸 때 발생하는 에러, 이를 이용해 해커가 악성 코드를 실행 

공통 취약점 등급 시스템 CVSS에서 위험도가 10점 만점에 9점인 취약점임

 2. 리눅스 서버를 노린 BPFdoor 악성코드 설치, 네트워크 방화벽 우회한 후 유심 정보 탈취 

피해?

-유출 정보 : 국제 이동가입자 식별번호, 가입자 인증키, 전화번호 등 유심 관련 25 정보 대량 유출

IMSI (사용자 고유 식별 번호) : MCC+MNC+전화번호를 합한 15자로 구성

전화번호가 12345678이면, 대한민국 MCC(Mobile Country Code) 450,SKT의 MNC(Mobile Network Code) 05를 나열해

MISI는 4500512345678

이러한 유심 정보를 복제해서 사용하면

1. SMS 휴대폰 본인 인증 무력화됨

2. 대포폰으로 악용 될 수 있음

3. 직장 로그인 정보 등을 추정해 기업 네트워크로 공격 확장 가능성도 있음

공격 도구 ? 

스폰키메라 ( SPAWNCHIMERA ): 중국 해커그룹들이 사용 

→ 악성코드 설치와 통신, 백도어, 활동 로그 삭제 등의 기능 갖춤 

SKT의 대처?

현재는 2411만명 전원의 유심보호서비스 가입 완료

14일부터는 유심 보호와 해외 로밍이 동시에 적용되는 서비스 도입 예정. 기존 서비스 가입 이용자는 자동 업그레이드

유심 보호 서비스 : 현재 사용하고 있는 유심을 다른 기기에 꽂으면 통신이 차단됨. 실시간으로 유심을 바꿔 끼웠따는 알람을 전송해, 내 스마트폰이 아니라면 절대 사용할 수 없도록 함. 해외에서의 유심 사용도 제한됨.

명의도용 방지 서비스 : 신규 또는 명의변경으로 전기통신 서비스 가입시, 이용자의 명의로 계약체결된 사실을 문자메시지 또는 등기우편물로 알려주는 서비스. 제3자에 의한 휴대전화 개통을 사전에 차단할 수 있음

 

SKT사용자들의 보안 대응방안

- 유심 교체 신청

- 명의도용 방지 서비스 가입

- SNS, 금융앱 등 2단계 인증 설정

- 공식 안내 문자 (114)만 신뢰

- 신뢰할 수 없는 URL 함부로 누르지 않기

 

[참고]

https://m.boannews.com/html/detail.html?idx=137078

https://labs.watchtowr.com/is-the-sofistication-in-the-room-with-us-x-forwarded-for-and-ivanti-connect-secure-cve-2025-22457/

https://github.com/sfewer-r7/CVE-2025-22457