정부, SKT 가입자 유출규모 2696만건 특정…"IMEI 임시 저장서버도 공격 확인"

[서울=뉴시스] 심지혜 기자 = 지난달 SK텔레콤 해킹사고에서 외부로 빠져나간 정보가 가입자 식별번호(IMSI) 기준으로 2695만7749건으로 정부 조사결과 확인됐다. 데이터 기준으로는 9.82GB에 달한다.

아울러 정부 민관합동조사단이 추가 확인한 결과, 단말기고유식별번호(IMEI)를 비롯한 개인정보가 일정기간 임시 저장 관리되는 서버 2대가 악성코드 공격을 받았다. IMEI 정보는 다른 사람이 스마트폰을 복제할 수 있는 심스와핑 공격을 할 수 있는 핵심 정보다.

만약, 이 정보가 빠져나갔을 경우 SK텔레콤의 유심보호 서비스에 가입했어도 안심할 순 없다는 얘기다. 지난달 민관합동조사단은 1차 조사결과를 발표하며 IMEI가 빠져나가지 않아 복제폰 우려는 없다고 밝힌 바 있다.

정부는 이번 추가 조사에서 임시저장 서버가 악성코드에 감염됐지만 정부는 IMEI 정보가 유출된 흔적은 아직 발견하지 못했다고 밝혔다.

과학기술정보통신부 SK텔레콤 침해사고 민관합동조사단은 19일 2차 조사결과 발표를 통해 이같은 내용을 공유했다.

앞서 지난달 29일 1차 발표에서는 5대의 서버가 감염됐고 4종의 악성코드가 발견됐다는 사실을 발표한 바 있다. 이에 더해 18대가 감염됐고, 21종의 악성코드가 발견됐다는 사실을 확인했다. 현재까지 25종의 악성코드를 통해 23대 서버가 감염된 것이다.

조사단은 1차 발표에서 가입자 전화번호, 가입자식별키(IMSI) 등 유심 복제에 활용될 수 있는 4종과 유출 정보 처리 등에 필요한 SK텔레콤 관리용 정보 21종 등 25종이 유출됐다고 했다. 유출된 유심정보의 규모가 9.82GB이며, IMSI 기준 2695만7749건 규모다.

또한 침투에 사용된 BPF도어(Door) 계열의 악성코드 4종을 발견했다. BPF도어는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링·필터기능을 수행하는 BPF(Berkeley Packet Filter)를 악용한 백도어(Backdoor)로 은닉성이 높아 해커의 통신 내역을 탐지하기 어려운 특징이 있다.

당시에는 복제폰을 발생시킬 수 있는 단말기고유식별번호(IMEI) 유출 여부를 확인하기 위해 감염이 확인된 서버 외에도 이를 저장하고 있는 38대 서버를 집중 점검했고 유출이 확인되지 않았다고 발표했다.

조사단은 이후 점검에서 국내외 알려진 BPF도어 악성코드 변종 202종을 모두 탐지할 수 있는 툴을 적용했다. 이를 통해 BPF도어 계열 20종과 웹셸 1종의 악성코드를 추가로 확인했다.

정부는 감염이 확인된 총 23대 서버 중 15대 서버에 대해 정말 분석했다. 이 중 2대의 서버가 개인정보 등을 저장하고 있었다. 해당 서버에는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 IMEI와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 있었다.

IMEI는 연동 서버에 일정 기간 임시로 저장되는 파일에 총 29만1831건이 포함돼 있었다.

조사단은 방화벽 로그기록이 남아있는 기간인 지난해 12월 3일부터 올해 4월 24일까지 자료유출이 없었다고 확인했다.  다만 로그기록이 남아있지 않은 기간인 2022년 6월 15일부터 2024년 12월 2일까지의 자료 유출 여부에 대해서는 현재까지 확인되지 않았다고 했다. 조사단은 2022년 6월 15일에 최초 악성코드가 설치된 것으로 보고 있다.

조사단은 “개인정보 등이 저장된 문제의 서버들을 확인한 즉시 SK텔레콤에게 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체 확인하고 이로 인한 국민 피해를 예방할 수 있는 조치를 강구하라”고 요구했다.


◎공감언론 뉴시스 [email protected]