과기정통부 "SKT 유심해킹 2차 피해 확인 안 돼…복제폰 걱정 안 해도"

기사등록 2025/07/04 17:11:00

최종수정 2025/07/04 18:18:24

과기정통부 민관합동조사단 SKT 해킹 사고 최종 조사 발표

지난 2021년부터 악성코드 심겼지만 SKT 알고도 신고 안 해

"최종 조사도 유심 복제로 인한 피해 확인 못해…FDS 등 보호"

SKT, 두차례 신고 의무 위반 과태료…"범죄 측면은 경찰 수사"

[서울=뉴시스] 심지혜 기자 = 류제명 과학기술정보통신부 제2차관이 4일 정부서울청사에서 SK텔레콤 침해사고 최종 조사결과를 발표하고 있다. 2025.07.04. siming@newsis.com
[서울=뉴시스] 심지혜 기자 = 류제명 과학기술정보통신부 제2차관이 4일 정부서울청사에서 SK텔레콤 침해사고 최종 조사결과를 발표하고 있다. 2025.07.04. [email protected]

[서울=뉴시스] 심지혜 박은비 기자 = SK텔레콤 침해사고에 대한 민관합동조사단의 최종 조사 결과 해킹 공격은 2021년부터 이뤄진 것으로 나타났다. 이듬해 SK텔레콤 자체 조사로 악성코드가 심긴 것을 확인했지만 정부에 신고하지 않는 등 미흡한 후속 조치로 사태가 커졌다는 지적이다.

이 가운데 조사 방화벽 로그기록이 남아있는 기간에는 단말기식별정보(IMEI) 유출이 확인되지 않았지만, 이외의 기간에는 유출 여부를 확인하기 어려운 것으로 조사됐다. 다만 정부는 복제폰 발생 등 2차 피해 우려를 하지 않아도 된다고 했다.

과학기술정보통신부는 4일 SK텔레콤 침해사고 조사 결과에 대한 브리핑을 열고 이같은 내용을 공유했다.

악성코드 최초 감염 시점 2021년 8월 6일…기존보다 약 1년 더 앞당겨져

조사단은 SK텔레콤 서버에 최초로 악성코드가 심긴 시점이 2021년 8월 6일이라고 발표했다. 중간 조사 발표에서는 최초 감염 시점을 2022년 6월로 제시했지만 실제로는 이보다 이른 시점에 공격을 당한 것이다.

SK텔레콤은 당시 비정상 로그인 시도가 있었던 정황을 발견하고 점검했지만 로그기록 6개 중 1개만 확인해 대처가 미흡했던 것으로 파악됐다. 이 때문에 해커가 서버에 접속한 기록은 확인하지 못하고 놓쳤다.

해커는 이후에도 SK텔레콤 서버에 침입, 올해 4월 18일에 유심 정보를 유출했다.

SK텔레콤은 총 28대 서버가 공격을 당했다. 해당 서버에서는 BPF도어(Door) 27종을 포함한 악성코드 33종을 확인했다. 이로 인해 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82GB, IMSI 기준 약 2696만건이다.
[서울=뉴시스] SK텔레콤이 2021년 8월부터 해킹 공격을 받은 것으로 나타났다. 해커는 총 28대 서버를 공격해 33개의 악성코드를 심었다. 과학기술정보통신부는 4일 이같은 내용의 SK텔레콤 침해사고 민관합동조사단 조사 결과를 발표했다. 번호 이동 고객에 대한 위약금은 면제해야 한다는 결론을 내렸다. (그래픽=안지혜 기자)  hokma@newsis.com
[서울=뉴시스] SK텔레콤이 2021년 8월부터 해킹 공격을 받은 것으로 나타났다. 해커는 총 28대 서버를 공격해 33개의 악성코드를 심었다. 과학기술정보통신부는 4일 이같은 내용의 SK텔레콤 침해사고 민관합동조사단 조사 결과를 발표했다. 번호 이동 고객에 대한 위약금은 면제해야 한다는 결론을 내렸다. (그래픽=안지혜 기자)  [email protected]

감염서버 중에는 ▲단말기식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 개인정보가 평문(암호화되지 않은 정보)으로 임시 저장된 서버 2대 ▲통화 시간, 수발신자 전화번호 등 통신 활동 관련 정보가 담긴 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했다.

이번 유심 정보 유출 사고는 음성통화인증(HSS) 관리서버 계정정보를 다른 서버에 평문으로 저장한 것이 문제가 됐다. 서버 로그인 아이디(ID)와 비밀번호를 안전하게 관리하지 못한 것. 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값에 대한 암호화도 하지 않았다.

다만 과기정통부는 복제폰이나 복제 유심 발생 가능성에 대해서는 우려하지 않아도 된다는 입장이다.

류제명 과기정통부 2차관은 "최종 조사에서도 유심 복제로 인한 피해는 확인하지 못했다"며 "2021년에는 실제 유심 복제후 다른 단말기에 꽂아 사용하는 사고가 있었으나, 이번에는 부정사용방지시스템(FDS), 유심보호서비스가 있어 대비가 됐다"고 설명했다.

이어 "단말기 제조사에도 문의한 결과 설령 IMEI 값이 유출이 됐더라도 제조사가 갖고 있는 인증값이 동시에 탈취되지 않으면 단말기 복제가 불가능하다는 답을 공통적으로 받았다"며 "단말기가 복제되는 그런 상황은 불가능하다고 말할 수 있다"고 부연했다.

그러면서 "복제폰, 복제유심에 대한 걱정은 안해도 된다고 생각한다"고 강조했다.

이동근 한국인터넷진흥원(KISA) 디지털대응본부장은 "통화상세기록(CDR)이라는 게 결국 누가 언제 누구랑 통화했는지에 대한 기록 부분이기 때문에 그걸로 어떤 식의 범죄나 피해를 일으켰을지는 지금 명확하게 시나리오를 만들기에는 어려운 상황"이라며 "직접적인 피해와 연관되지는 않기 때문에 개인의 사생활과 관련이 있을 수는 있지만 이걸 개인이 직접 알고 신고하는 건 현실적으로 어려운 점이 있다"고 설명했다.

이어 "다른 기술적인 분석이나 전문가들도 동일한 판단을 내릴 것"이라고 덧붙였다.

아울러 과기정통부는 SK텔레콤 해킹 조사와 별개로 KT와 LG유플러스, 주요 플랫폼사의 해킹 피해 여부를 확인하기 위해 실시한 조사에서는 별다른 피해가 확인되지 않았다고 안내했다.

최우혁 과기정통부 정보보호네트워크정책관은 "SK텔레콤에 준하는 수준으로 조사를 진행했고 KT, LG유플러스에서는 문제가 없는 것으로 확인했다"면서도 "플랫폼사는 아직 조사가 진행중이라 향후 발표하겠다"고 했다.

SKT 두차례 신고 의무 위반 과태료 처분…"범죄적인 측면 수사 통해 밝혀질 것"

 
정부는 이번 조사에서 SK텔레콤이 두 차례에 걸쳐 침해사고 신고 의무를 지키지 않은 것에 대해 지적했다.

2022년 자체 조사 당시에는 신고를 하지 않았고, 올해 4월에는 침해사고 확인 후 24시간 이내에 신고해야 하는 의무를 어겼다.

류제명 2차관은 "(사고) 고의성이나 SK텔레콤의 범죄적인 측면이 있었는지에 대해서는 경찰 수사를 통해서 밝혀질 것"이라며 "SK텔레콤이 기간통신사업자로서 법적인 의무 등을 이행하지 못한 범죄적인 무언가가 있다면 (경찰 수사 뒤) 주무 부처로서 판단해 보겠다"고 말했다.

이와 함께 신고 의무 위반에 대해서는 전기통신사업법에 따라 과태료 처분을 하기로 했다.

이와 관련, 유영상 SK텔레콤 사장은 이날 오후 브리핑을 열고 2022년에 신고 의무를 지키지 않은 상황에 "반성한다"고 말했다.

유 사장은 "긴급히 사실관계를 파악한 결과 당시 내부 업무 처리 관행에 따라 망장애가 생기지 않도록 악성코드에 긴급 대응한 것"이라며 "개인정보 유출 피해가 없던 것으로 확인됐다"고 설명했다.

다만 "당시 담당자가 법적 신고 대상인지 여부를 생각하지 못했던 것 같다. 부끄럽지만 저를 포함한 경영진에게 보고가 이뤄지지 않았고 굉장히 송구하다"며 "앞으로는 침해 사고 신고와 관련해 대응 매뉴얼을 강화, 재발하지 않도록 하겠다"고 강조했다.

이밖에 정부가 SK텔레콤 해킹사고 분석을 위해 자료 보전을 명령했음에도 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치한 것에 대해서도 잘못을 인정했다.

유 사장은 "정부의 서버 보전 명령이 담당 부서에 전달되기 전, 긴급 복구를 하면서 초기화하는 실수를 범했다"며 "고의적인 의도가 있었던 게 아니다. 피해 확산 방지를 위해 초기화 한 것이지만, 그럼에도 명백히 잘못했다"고 했다.


◎공감언론 뉴시스 [email protected], [email protected]
button by close ad
button by close ad

과기정통부 "SKT 유심해킹 2차 피해 확인 안 돼…복제폰 걱정 안 해도"

기사등록 2025/07/04 17:11:00 최초수정 2025/07/04 18:18:24

이시간 뉴스

많이 본 기사