SKT 해킹, 악성코드 21종·감염서버 18대 추가 확인…22년 6월 감염

과기정통부, 민관합동조사 2차 결과 발표…단말기 고유식별번호 유출 촉각

서울 시내 T월드 매장 앞에 유심 교체 및 유심보호서비스 안내문이 게시돼 있다. SK텔레콤은 이날부터 유심 정보 일부를 변경하는 ‘유심 재설정’(유심 포맷) 솔루션을 도입했다./사진=뉴시스

SK텔레콤 해킹 사고에 대한 2차 민관합동조사 결과, 23대 서버에서 악성코드 25종이 발견됐다. 지난 1차 발표 때보다 악성코드는 21종, 감염서버는 18대 늘어난 수치다. 감염서버 중에는 단말기 고유식별번호(IMEI)와 이름·생년월일·전화번호·이메일 등 개인정보가 포함된 서버 2대도 포함됐으나, 해당 정보의 유출 여부는 확인되지 않았다. IMEI가 유출된 경우 SKT 유심보호서비스는 무력화된다.

과학기술정보통신부는 19일 이같은 내용의 민관합동조사 2차 결과를 발표했다. SKT 리눅스 서버 3만여대를 4차례 점검한 결과, 23대 서버에서 악성코드 25종이 발견됐다. 이 중 15대는 정밀분석을 완료했고 나머지 8대는 이달 말까지 분석을 진행한다. 악성코드도 1차 조사결과에서 공개됐던 BFP도어 계열 4종 외 20종과 웹셸 1종이 발견됐다.

앞서 과기정통부는 1차 조사결과에서 △가입자 전화번호 △가입자식별번호(IMSI) △유심 인증키(Ki) 2종 등 유심 관련 4종 정보가 유출됐다고 밝혔다. 이번 발표에서 유출 정보 규모는 9.82GB로, IMSI 기준 2695만7749건이 유출됐다고 설명했다.

/사진=과기정통부

문제는 15대 중 2대에 IMEI와 다수의 개인정보(이름·생년월일·전화번호·이메일 등)가 포함됐다는 점이다. 과기정통부는 1차 조사 결과 발표 당시 유출 정보에 IMEI가 포함되지 않았다며 SKT 유심보호서비스로 복제폰 피해를 막을 수 있다고 설명했다. 그러나 IMEI가 유출됐다면 유심보호서비스 만으론 역부족이다. SKT가 고도화한 FDS(비정상 인증 차단 시스템)에 기대를 걸어야 하는 셈이다.

과기정통부는 "악성코드 감염 서버에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있음을 확인했다"며 "방화벽 로그기록이 남아있는 2024년 12월∼2025년 4월에는 자료 유출이 없었으나, 로그 기록이 없는 2022년 6월~2024년 12월 자료 유출 여부는 확인되지 않았다"고 했다.

이에 과기정통부는 지난 11일 SKT에 국민 피해를 예방할 조치를 강구하라고 요구했다. 해당 서버에 개인정보가 포함된 만큼 이를 개인정보보호위원회에 통보하고, SKT 동의를 얻어 조사단에서 확보한 서버자료를 개인정보위에 공유했다. 또 '통신사 및 플랫폼사 보안점검 TF'를 운영하며 매일 또는 주단위로 점검결과를 확인하고 있다. 국정원도 중앙행정기관, 지자체, 공공기관 대상으로 점검한 결과 현재까지 민간, 공공 분야 모두 신고된 피해사례는 없었다.

과기정통부는 "앞으로도 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우 이를 투명하게 공개하고 사업자로 하여금 신속히 대응토록 하는 한편 정부 차원의 대응책도 강구해 나갈 계획"이라고 말했다.

윤지혜 기자 yoonjie@mt.co.kr