3년 걸친 'SKT 해킹'…개인정보 추가 유출 가능성 제기

1차 조사 대비 피해규모 대폭 커져…단말기 정보도 유출 추정
감염 서버 5대→23대, 악성코드 4종→25종

최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관합동 조사결과 2차 발표 브리핑을 하고 있다. 연합뉴스

SK텔레콤 대규모 해킹 사건을 조사 중인 민관합동조사단은 악성코드가 최초로 설치된 시점은 2022년이며, 가입자 식별키 기준으로 2천695만여 건의 정보가 유출된 것으로 확인됐다고 발표했다. 조사단은 이번 해킹 사태로 9.82GB 규모의 유심 정보가 유출된 것으로 파악했다.

과학기술정보통신부‧한국인터넷진흥원(KISA) 등 민관합동조사단은 19일 서울 정부청사에서 이같은 내용의 2차 조사 결과를 발표했다. 지난달 29일 과기정통부는 "공격받은 정황이 있는 서버 5대를 조사한 결과 전화번호‧가입자 식별키(IMSI) 등 유심 정보 25종이 유출됐고, 단말기 고유식별번호(IMEI) 유출은 없었기 때문에 복제 폰 우려는 없다"고 밝힌 바 있다.

하지만 이날 2차 조사 결과 발표에 따르면 피해 규모는 당초 예상했던 것보다 훨씬 더 큰 것으로 드러났다. 악성코드에 감염된 서버는 현재까지 총 23대로, 1차 조사 대비 18대 더 늘었다. 4종으로 추정했던 악성코드 역시 25종까지 늘었고, 유출된 유심 정보는 IMSI 기준 2천695만 7천749건에 달하는 것으로 확인됐다. 이는 SK텔레콤 가입자와 알뜰폰 이용자를 합친 전체 고객(2천500만 명)보다 많은 수치다.

이와 더불어 1차 조사에서는 유출되지 않았다고 했던 IMEI를 포함해 이름과 생년월일, 전화번호, 이메일 등 개인 정보가 추가로 유출됐을 가능성도 제기됐다. 악성코드에 감염된 서버들 중엔 개인정보를 일정 기간 임시로 관리하던 서버가 포함됐기 때문이다.

다만 조사단은 "방화벽 로그기록이 남아있는 기간(2023년 12월3일~2025년 4월24일)에는 단말기 고유식별번호 등 자료 유출이 없었던 것으로 확인됐다"며 "최초로 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(2022년 6월15일~2024년 12월2일)의 자료 유출 여부는 현재까지 확인되지 않았다"고 설명했다.

만약 IMEI가 유출됐을 경우 과기부나 SK텔레콤의 설명과 달리 유심 보호 서비스 가입만으로는 유심 정보 유출이나 휴대폰 복제 가능성 등을 배제할 수 없다. 유심 보호 서비스는 유심 정보만으로는 새 단말기를 개통할 수 없도록 하는 데는 효과적이지만, 유심 정보(IMSI)와 단말기 정보(IMEI)를 활용해 기존 가입자를 도용하는 경우까지 차단하지는 못한다.

이와 관련 조사단은 "이들 서버에 저장됐던 개인정보의 구체적인 종류는 개인정보보호위원회 조사 대상"이라며 "지난 13일 개보위에 개인정보 포함 서버의 해킹 사실을 통보하고 관련 자료를 공유했다"고 밝혔다.

조사단은 지난 14일까지 SK텔레콤의 리눅스 서버 3만 대를 총 4차례 점검했고, 다음 달 말까지 윈도 서버와 기타 장비 등을 대상으로 강도 높은 점검을 확대한다는 방침이다.

정예은 인턴기자 ye9@kyeonggi.com