SKT 조사단 "3년전 IMEI 임시저장 서버 해킹 당해…복제폰 제작은 불가" (종합)

[서울=뉴시스] 심지혜 박은비 기자 = SK텔레콤 단말기고유식별번호(IMEI)를 임시 저장하는 서버가 해커의 공격을 당한 것으로 확인됐다. 정부는 현재로선 IMEI 정보가 빠져 나가지 않은 것으로 확인했다.

다만, 해커가 악성코드를 설치한 건 3년 전이며, 이 기간 서버에 로그 기록(해커가 들어온 흔적)을 남기지 않은 기간도 있어 IMEI 정보 일부가 과거에 빠져나갔을 가능성도 배제할 수 없게 됐다.

그럼에도 설령 IMEI 정보가 유출됐다 해도 복제폰이 발생할 수 없다는 게 민관합동 조사단 입장이다.

SK텔레콤 침해사고 민관합동조사단은 19일 정부세종청사에서 실시한 2차 조사결과를 통해 이같은 내용을 공유했다.

조사단은 현재까지 총 23대의 서버 감염을 확인하고 15대에 대한 포렌식 등 정밀분석을 완료했다. 나머지 8대에 대한 분석과 악성코드 탐지 및 제거 작업을 진행 중이다.

현재까지 발견된 악성코드는 BPF도어(Door) 계열 24종과 웹셸 1종 등 총 25종이다. BPF도어는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링·필터기능을 수행하는 BPF(Berkeley Packet Filter)를 악용한 백도어(Backdoor)로 은닉성이 높아 해커의 통신 내역을 탐지하기 어려운 특징이 있다. 웹셸은 해커가 악의적인 목적으로 시스템에 임의 명령을 실행할 수 있도록 한 코드다.

앞선 1차 조사발표에서는 5대의 서버가 감염되고 4종의 악성코드가 발견됐다고 밝혔다.

조사단은 현재까지 분석이 완료된 15대 중 개인정보 등을 저장하는 2대가 해킹 공격을 받았다는 사실을 추가로 확인했다.

이는 통합고객인증 서버와 연동되는 서버로 해당 서버에는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 IMEI와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 있었다.

앞서 1차 조사 발표에서는 IMEI를 저장하고 있는 모든 서버를 조사했지만, 이후 조사에서 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있다는 것을 확인한 것이다. 규모는 총 29만1831건이다. 다만 이들 IMEI가 유출되지 않았다고 조사단은 강조했다.

이동근 KISA 디지털위협대응본부장은 “웹셸이 해당 서버를 공격하고 BPF도어를 심었다”고 설명했다.

조사단은 방화벽 로그기록이 남아있는 기간인 지난해 12월 3일부터 올해 4월 24일까지 자료유출이 없었다고 확인했다. 이에 앞서 해커가 처음으로 악성코드를 설치한 시점인 2022년 6월 15일부터 2024년 12월 2일까지의 자료 유출 여부에 대해서는 현재까지 확인되지 않았다고 했다.

로그기록이 남아있지 않은 기간 동안 IMEI가 유출됐을 가능성과 관련, 류제명 과기정통부 네트워크정책실장은 “최악의 경우 IMEI가 유출됐다 하더라도 부정가입접속방지시스템(FDS) 등 복제폰 활성화를 막을 장치가 돼 있어 작동이 불가능하다”고 설명했다.

그는 “15자리 숫자만 가지고는 복제폰 발생이 불가능하다는 게 제조사들의 해석"이라며 "단말과 숫자를 인증하는 인증키 값을 제조사가 갖고 있어서 IMEI 숫자가 복제됐다 해도 복제폰이 작동하지 않는다고 했다"고 부연했다.

앞선 발표에서 IMEI 관련 서버 해킹 여부가 발표되지 않은 것에 대해서는 “4차례에 걸친 강도 높은 조사를 반복하면서 IMEI 값을 호출하는 과정에도 자료가 있다는 것을 추가로 발견한 것”이라며 “1차에서는 IMEI 정보를 보관하는 서버가 공격받은 흔적이 없었고 정보가 유출되지 않았다는 것까지 확인해서 광범휘하게 확산된 우려를 해조하려 했다”고 말했다.

연동 서버에 로그기록이 남아있는 기간이 약 5개월 정도밖에 안되는 이유에 대해서 김 본부장은 “해당 서버는 임시 저장을 목적으로 하는 용도로, 일정 기간 개인정보를 저장 처리해야 하는 개인정보보호법에 해당되지 되지 않는다”고 설명했다.

SK텔레콤이 해커가 악성코드를 심어 놓은 3년여 기간 동안 이를 발견하지 못했다는 지적과 관련해 최 정책관은 “사고 이후에 인지를 한 게 맞다”며 “수행해야 할 보안 조치 미흡 부분은 조사단이 심도있게 확인 중으로, 분석이 완료된 뒤 발표될 것”이라고 말했다.

추가로 조사단은 현재까지 파악한 유심 정보 유출과 관련해 가입자식별키(IMSI) 기준 2695만7749건, 9.82GB 규모가 빠져나갔다고 설명했다. 여기에는 SK텔레콤 망을 사용하는 알뜰폰까지 포함돼 있다.

전체 SK텔레콤 가입자보다 숫자가 많은 이유에 대해 이 본부장은 “해커가 추출해서 가져간 전체 규모를 말한 것으로 실제 유효하지 않은 번호가 있을 수 있다"며 "추후 개인정보보호위원회에서 순수 가입자 고객이 맞는지 식별하는 작업이 이뤄질 것"이라고 했다.

마지막으로 류 실장은 ”철저하게 조사하고 모든 과정을 투명하게 함으로써, 조사나 분석상 불가피한 경우가 아니라면 정보 주체인 국민들게 먼저 알리고 피해 방지책과 방안을 강구해 나가겠다“며 ”절대 은폐하거나 축소하는 일은 없다“고 거듭 강조했다.

이어 ”이번 사용된 악성코드와 공격 양태를 보면 지금까지 봐 온 것보다 정교한 분석과 노력이 필요하다“며 ”잠재된 위험을 끝까지 파헤치지 않으면 앞으로도 큰 위험이 있을 수 있어 조사를 굉장히 강도 높게 하고 있다“고 말했다.

또한 ”SK텔레콤 이외의 통신사나 주요 플랫폼, 공공기관 등에 대한 공격 여부 등도 동시다발적으로 대응해나가고 있다“면서 ”특히 선거 기간에 증가할 수 있는 사이버 공격에 대한 정부의 전체적인 대응 세를 높여 사이버위기 경보 단계도 ‘주의’로 상향했다“고 덧붙였다.

한편, 지난 5일부터 진행해온 SK텔레콤 신규영업(신규가입, 기기변경) 중단 해제 시점과 관련해 류 실장은 ”가장 중요한 것은 기존 가입자의 유심 교체 수요가 어떻게 충족되고 있냐는 것“이라며 ”이에 따라 결정한 문제로 다른 요소는 전혀 고려하지 않고 있다“고 했다.


◎공감언론 뉴시스 [email protected], [email protected]