SKT ‘단말기 식별번호’ 유출 가능성…“3년 전 최초 침입”

[아이티데일리] SK텔레콤 해킹 사건의 여파가 커지고 있다. 악성코드 21종이 추가 발견됐으며 개인정보 다수와 단말기 고유식별번호(IMEI)가 담긴 서버에 공격이 일어난 정황이 포착됐다.

SKT 해킹 사건을 조사 중인 과학기술정보통신부, 한국인터넷진흥원 등 민관 합동 조사단은 19일 정부서울청사에서 2차 조사 결과를 발표했다.

조사단은 지난 29일 1차 조사 결과를 발표한 바 있다. 당시 조사단은 SKT가 공격받은 정황이 있는 서버 5대를 조사해, BPF도어(BPFDoor) 계열 악성코드 4종과 함께 가입자 식별 키(IMSI) 등 정보 25종이 유출된 사실을 파악했다.

이후 19일까지 SKT 내 리눅스 서버 3만여 대를 네 차례에 걸쳐 점검했다. 그 결과 BPF도어 계열 악성코드 20종과 웹셸(Web Shell) 1종을 추가 발견했으며, 서버 23대에 감염 여부를 확인하고 15대에 대한 포렌식 등 정밀 분석을 완료했다. 나머지 8대에 대한 분석은 이달 말까지 마무리할 예정이다. 유출된 유심 정보 규모는 9.82기가바이트(GB)이며 IMSI 기준 2천 6,957여 건이다.

조사단은 분석이 완료된 15대 중 개인정보 등을 저장하는 서버 2대를 확인했다. 해당 서버는 통합고객인증 서버와 연동됐으며, 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI) 29만 1,831건과 이름, 생년월일, 전화번호 등 다수의 개인정보가 임시 저장돼 있었다. IMEI는 휴대전화 기기에 부여되는 15자리 고유 번호다.

SKT에서 제공하는 유심보호서비스는 IMSI와 IMEI를 하나로 묶어 관리함으로써 유심을 복제해 다른 단말로 기기를 변경하는 시도를 차단하는 서비스다. 만약 IMEI가 유출됐을 시 해당 서비스로 유심 복제 행위를 막는 데 어려움이 있을 수 있다.

조사단은 두 차례에 걸친 정밀 조사 결과 방화벽 로그기록이 남은 기간(지난해 12월 3일부터 올해 4월 24일까지)에는 자료 유출이 없었다고 밝혔다. 다만 최초 악성코드가 설치된 시점인 2022년 6월 15일부터 2024년 12월 2일 사이 자료 유출 여부는 현재까지 확인되지 않았다.

과기정통부 류제명 네트워크정책실장은 “15자리 IMEI 값만으로는 제조사가 보유한 단말별 인증키 값없이 물리적 복제는 불가하다는 점을 제조사로부터 확인했다”며 “만에 하나 있을 수 있는 피해에 대해서는 보상책을 확실히 하기를 사업자에게 요구했다”고 설명했다.

조사단에서는 지난 11일 문제의 서버를 확인한 즉시 사업자에게 정밀 분석이 끝나기 전이라도 자료 유출 가능성을 자체 확인하고 이로 인한 피해를 예방하는 조치를 강구할 것을 요구했다.

개인정보의 경우, 개인정보보호위원회에서 조사가 필요한 사항이라 보고 개인정보가 포함돼 있다는 사실을 지난 13일 통보했으며, 사업자 동의를 얻어 조사단에서 확보한 서버 자료도 16일에 공유했다.

조사단은 “앞으로도 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견될 시 이를 투명하게 공개하고 사업자로 하여금 신속히 대응토록 하는 한편 정부 차원에서 대응책도 마련해 나갈 계획”이라고 밝혔다.