세계일보

SK텔레콤 서버에서 총 25종의 악성코드가 발견됐다. 또 가입자 식별번호(IMSI)뿐 아니라 일부 단말기 고유식별번호(IMEI)가 저장된 서버도 공격받은 것으로 파악됐다. 최초 악성코드가 설치된 시점은 2022년 6월 15일로, 이후 지난해 12월까지 로그기록이 남아 있지 않아 IMEI 유출 여부는 현재 확인되지 않고 있다. 

SK텔레콤 해킹 사건을 조사 중인 민관합동 조사단은 19일 정부서울청사에서 이같은 내용의 2차 조사 결과를 발표했다. 민관합동 조사단은 이번에 BPF도어 계열 12종과 웹셸 1종을 추가 확인했다고 밝혔다. 앞서 조사단은 1차 발표에서 악성코드 4종, 이어 8종의 BPF도어 계열 악성코드를 발견했다. 이에 따라 현재까지 조사단이 확인한 SK텔레콤 서버의 악성코드는 총 25종으로 늘었다. 

조사단은 1차 조사 결과에서 악성 코드에 감염된 서버 5대 중 홈가입자서버(HSS) 3대에서 가입자 식별번호(IMSI), 인증키 등 유심 정보 4종을 포함한 25종의 정보 유출을 확인했다. 이어 이번 2차 조사 결과 감염 서버를 18대 더 발견했다. 이로써 SK텔레콤에서 해킹 공격을 받은 서버는 총 23대로 늘었다.

이 가운데 15대는 포렌식 등 정밀 분석이 끝났지만 나머지 8대에 대해서는 분석이 진행 중이다. 15대 정밀분석 결과 서버 2대에는 개인정보가 저장된 것으로 확인됐다. 이 서버들은 통합고객인증 서버와 연동되는 서버들로, 저장된 개인정보는 고객 인증을 목적으로 호출된 IMEI와 이름, 생년월일, 전화번호, 이메일이다.

조사단은 방화벽에 로그 기록이 남아있는 지난해 12월 3일부터 지난 달 24일까지는 데이터 유출이 없었음을 확인했다. 다만 로그 기록이 없는 기간이 문제다. 최초 악성코드가 설치된 시점인 2022년 6월 15일부터 지난해 12월 2일까지 로그 기록이 남아 있지 않아 개인정보 유출 여부를 확인하지 못했다고 조사단은 밝혔다.

류제명 과학기술정보통신부 네트워크정책실장은 “노출된 IMEI 값은 열다섯 자리의 숫자 조합인데 그 숫자 조합만 가지고는 복제품, 쌍둥이 폰은 원천적으로 불가능하다는 것이 제조사들의 해석”이라며 “(IMEI) 숫자 외에 그 단말과 숫자를 인증하는 인증키 값을 제조사들이 갖고 있기 때문에 열다섯 자리 숫자만 복제됐다, 부팅(전화기 켬)을 한다해서 워킹(작동)하는 상황은 아니라는 해석을 제조사로부터 듣고 있다”고 설명했다. 류 실장은 “다른 방식으로 복제폰이 가능한지 여부에 대해서 저희가 100% (아니라고) 지금 말씀드리긴 어렵다”며 “제조사, 사업자(SKT)의 판단이 복제폰은 일단 물리적으로 불가능하고, 만들어졌다 해도 네트워크에 접속하는 거 자체가 완벽하게 차단된다고 설명하고 있어서 국민께서 과도하게 불안해하지 않으셨으면 좋겠다”고 부연했다. 

앞서 조사단은 조사 초기 IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검해 감염되지 않음을 확인했다고 밝힌 바 있다. 이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 총 29만2831건의 IMEI 등이 포함되고 있는 것을 확인했다고 설명했다. 정밀 조사 결과 29만2831건은 유출되지 않았다고 강조했다. 

조사단은 개인정보가 들어 있는 문제의 서버 해킹을 확인한 시점인 지난 11일 SK텔레콤에 자료 유출 가능성을 자체 확인하고 이용자 피해를 막을 조치를 강구할 것을 요구했다. 아울러, 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라 보고 지난 13일 개보위에 개인정보 포함 서버의 해킹 사실을 통보하는 한편 서버 자료를 공유했다.

1차 조사에서 SKT에서 유출이 파악된 유심 정보의 규모는 9.82GB로, 가입자 식별번호(IMSI) 기준 2695만7749건에 해당한다.

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]