SKT "악성코드 감염서버 추가 발견 정말 죄송"
침입 서버에 IMEI 포함됐지만 정보 유출 없어"
FDS 2.0 고도화…복제폰 망 접속시 차단 조치
![[서울=뉴시스] 박은비 기자 = SK텔레콤이 19일 서울 중구에 위치한 삼화빌딩에서 해킹 사고 이후 수습 상황에 대해 설명하는 일일브리핑을 진행했다. 사진은 류정환 SK텔레콤 네트워크인프라센터장이 이날 민관합동조사단 2차 조사 발표에 대한 SK텔레콤 입장을 설명하는 모습. 2025.05.19. silverline@newsis.com](https://img1.newsis.com/2025/05/19/NISI20250519_0001845946_web.jpg?rnd=20250519140559)
[서울=뉴시스] 박은비 기자 = SK텔레콤이 19일 서울 중구에 위치한 삼화빌딩에서 해킹 사고 이후 수습 상황에 대해 설명하는 일일브리핑을 진행했다. 사진은 류정환 SK텔레콤 네트워크인프라센터장이 이날 민관합동조사단 2차 조사 발표에 대한 SK텔레콤 입장을 설명하는 모습. 2025.05.19. [email protected]
[서울=뉴시스] 박은비 심지혜 이주영 수습 기자 = SK텔레콤이 해킹 사고 관련 민관합동조사단 2차 발표 이후 "악성코드 수가 늘어가고 감염 서버수가 늘어난 것에 대해 정말 죄송하다"면서도 "이런 것을 속이거나 숨기거나 거짓말한 적이 없다"고 해명했다. 아울러 "현재까지 확인된 바로는 추가 유출은 없다"는 입장이다.
SK텔레콤은 이날 오후 서울 중구 삼화빌딩에서 열린 일일브리핑에서 이같이 밝혔다.
민관합동조사단은 이날 오전 SK텔레콤의 통합고객인증 서버와 연동되는 서버 2대가 해킹 공격을 받았다는 사실을 공개했다.
해당 서버에는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 IMEI와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 있었다. 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함된 사실을 확인한 것이다. 규모는 총 29만1831건이다.
류정환 SK텔레콤 네트워크인프라센터장은 "2022년 6월부터 수사기관에 의뢰해서 불법 유심이나 불법 단말기 복제에 의한 SK텔레콤 관련 사고가 있었는지 확인했다"며 "그 당시부터 SK텔레콤에 접수된 고객의견(VoC)이 39만건이고 이를 전수검사하는 등 검토할 수 있는 모든 기록을 대상으로 봤을 때 추가적인 유출은 일단 없는 걸로 생각하고 있다"고 주장했다.
류 센터장은 이어 "단말 복제는 단말 제조사의 영역이라 제조사 두곳에 문의한 결과 거기서도 불가하다는 판단을 분명히 하고 있다"며 "IMEI가 다른 단말에 복제돼 망에서 인증을 받고 정상 단말인지 확인하려면 단말 제조사 인증도, 이동통신사 인증도 필요하다"고 설명했다.
![[서울=뉴시스] 배훈식 기자 = 최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 오전 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관합동조사단 중간 조사 결과를 발표하고 있다. 2025.05.19. dahora83@newsis.com](https://img1.newsis.com/2025/05/19/NISI20250519_0020815301_web.jpg?rnd=20250519111123)
[서울=뉴시스] 배훈식 기자 = 최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 오전 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관합동조사단 중간 조사 결과를 발표하고 있다. 2025.05.19. [email protected]
그러면서 "최악의 경우를 대비하면서 노력하고 있다"며 "비정상 인증 차단 시스템(FDS) 2.0을 통해 복제폰이 SK텔레콤 망에 접속되는 걸 차단하고 있다"고 언급했다. 이 서비스는 SK텔레콤 망을 이용하는 알뜰폰에도 적용 중이다.
SK텔레콤 설명에 따르면 FDS 1.0이 유심 불법 복제를 막아주는 서비스였다면 FDS 2.0은 불법 단말 복제를 차단하는 서비스다. 그는 "지금 기술로 복제 단말 등 리스크는 저희가 막을 수 있다. 고객들이 정말 안심할 수 있다. 안심해도 된다는 걸 말씀드린다"고 강조했다.
다만 SK텔레콤의 FDS는 2023년 6월로 악성코드가 심겨진 2022년 6월과 1년여 공백 기간이 존재한다. 이 기간에 대해서도 VoC를 비롯한 경찰청 접수 사고를 분석했을 때 SK텔레콤 관련 사고는 없었기 때문에 문제가 없었다고 보고 있다.
지목된 中 지원 해커 '레드 멘션'…"SKT 유출 안 돼"
이와 관련 류 센터장은 "지금까지 파악한 바로는 SK텔레콤이 유출되지 않았다"면서도 "구체적인 근거를 말씀드릴 수 없는 점을 이해해달라"고 했다.
하지만 배후가 레드 맨션일 가능성을 배제하는 건지 확인하는 질문에는 "누가 해킹했는지 어느 경로로 들어왔는지 어떻게 들어왔는지는 더 확인할 사항"이라며 "모든 가능성을 열고 조사 중"이라고 덧붙였다.
3년 전에 악성코드에 감염된 사실을 어떻게 모를 수 있냐는 질문에는 "해커 공격의 특성을 좀 이해해야 될 것 같다"며 "지능형 지속 위협(APT) 공격이 들어오면 일단 생성한 뒤 유출까지 상당히 오랜 시간이 걸릴 수 있다. BPF도어 특성이 그렇기도 하다"고 해명했다.
류 센터장은 "통신망에서는 백신을 깔거나 암호화를 하는 게 무조건 좋을 수는 없는 게 성능이 저하될 수 밖에 없다"며 "투자하더라도 임계치가 있다. 다만 이번 사고를 계기로 다시 한 번 보겠다"고 말했다.
![[서울=뉴시스] 박은비 기자 = SK텔레콤이 19일 서울 중구에 위치한 삼화빌딩에서 해킹 사고 이후 수습 상황에 대해 설명하는 일일브리핑을 진행했다. (왼쪽부터) 김희섭 PR센터장, 임봉호 MNO사업부장, 류정환 네트워크인프라센터장. 2025.05.19. silverline@newsis.com](https://img1.newsis.com/2025/05/19/NISI20250519_0001845993_web.jpg?rnd=20250519142627)
[서울=뉴시스] 박은비 기자 = SK텔레콤이 19일 서울 중구에 위치한 삼화빌딩에서 해킹 사고 이후 수습 상황에 대해 설명하는 일일브리핑을 진행했다. (왼쪽부터) 김희섭 PR센터장, 임봉호 MNO사업부장, 류정환 네트워크인프라센터장. 2025.05.19. [email protected]
SK텔레콤 통화기록(CDR)은 암호화하고 있기 때문에 유출은 없었다는 입장이다.
또 방화벽 로그기록이 남아있지 않은 기간에는 가입자식별키(IMEI) 유출이 없다고 확신할 수 없다는 민관합동조사단 발표에 대해 "부인하지 않지만 우리가 가용할 수 있는 모든 데이터를 종합적으로 판단한 결과 유출이 없다고 본다"고 언급했다.
김희섭 SK텔레콤 PR센터장은 "로그기록이 남아있는 5개월간 유출되지 않은 걸 확인했다"며 "그 이전에 악성코드가 심어졌는데 5개월 이전 로그기록은 없어서 확인할 수 없다"고 말했다.
하지만 "지난달 이번 공격이 있고 그 이전에도 감시 체제는 운영하고 있었다"며 "비정상 데이터 흐름이 있었으면 저희가 파악해서 신고하지 않았을까 그렇게 본다. 지금껏 봐왔던 기술로는 유출이 확인되지 않았다. 저희가 아는 한 그렇다고 말씀드린다"고 강조했다.
◎공감언론 뉴시스 [email protected], [email protected], [email protected]
