"SKT 해킹 3년전 시작…가입자 식별번호 2700만건 털려"(상보)

민관합동조사단 "개인정보, 평문으로 저장돼 있어"
유출된 IMSI도 2695만건…9.82GB 분량

최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관 합동 조사결과 2차 브리핑을 하고 있다. 2025.5.19/뉴스1 ⓒ News1 김성진 기자

(서울=뉴스1) 김정현 양새롬 기자 = SK텔레콤이 해킹된 시점이 3년 전이었다는 사실이 드러났다. 유출된 가입자식별키(IMSI)는 2695만 건에 달하는 것으로 확인됐다.

단말기고유식별번호(IMEI)와 개인정보가 저장됐던 서버도 악성코드에 감염된 사실도 추가로 알려졌다.

SK텔레콤 침해사고 민관합동조사단은 19일 조사 결과 브리핑을 열고 "공격받은 정황이 있는 SK텔레콤 서버 23대 중 통합고객인증 서버와 연동되는 서버 2대에 IMEI 및 개인정보 등 저장된 파일이 있었던 것으로 파악됐다"고 밝혔다.

해당 서버에 저장된 파일에는 고객 인증을 목적으로 호출된 29만 1831건의 단말기 고유식별번호(IMEI)와 △이름 △생년월일 △전화번호 △이메일 등 개인정보 다수가 있었다.

조사단 부단장을 맡은 이동근 KISA 디지털위협대응본부장은 "임시저장된 개인정보들은 다 평문으로 돼 있었다"고 설명했다.

이날 조사단은 SK텔레콤의 리눅스 서버 약 3만여대를 4차례에 걸쳐 점검한 결과를 공개했다. 현재까지 조사단은 총 23대의 서버 감염을 확인해 15대에 포렌식 등 정밀분석을 완료했다. 잔여 8대 분석도 진행 중이다. 이 과정에서 발견된 악성코드는 총 25종이다.

최우혁 과학기술정보통신부 정보보호네트워크정책관은 "유출 유심정보의 규모는 9.82GB"라며 "IMSI 기준으로는 2695만 7749건"이라고 말했다.

SK텔레콤 T타워 2020.2.26/뉴스1

조사단에 따르면 최초 악성코드 설치시점은 지난 2022년 6월 15일이다.

이 본부장은 "추가 발견된 웹셸 1종은 기본적으로 홈페이지를 장악하는 기술에서 사용되는 형태"라며 "웹셸 설치 시점이 조사 과정에서 최초 감염 시점을 알려주는 중요한 요소로 작용했다"고 언급했다.

조사단은 로그 기록이 남아있는 지난해 12월 3일부터 지난달 24일에는 자료 유출이 없었다고 밝혔다. 다만 최초 악성코드 설치 시점인 2022년 6월 15일부터 지난해 12월 2일의 자료 유출 여부는 확인되지 않았다.

류제명 과기정통부 네트워크정책실장은 "사용된 악성코드와 공격 양태를 보면 굉장히 지금까지 봐 온 것보다 훨씬 더 정교한 분석 작업이 필요하고 노력이 많이 필요하다"며 "앞으로 잠재된 위험을 끝까지 파헤지지 않으면 앞으로도 큰 위험이 있을 수 있다는 판단하에 조사 자체를 굉장히 강도 높게 하고 있다"고 강조했다.

Kris@news1.kr