'유심보호' 무용지물 되나…SKT, IMEI·개인정보 유출 가능성

(종합)IMEI·개인정보 저장 서버에도 악성코드 발견
과기정통부 "유출 미확정…IMEI로 복제폰 못 만들어"
2022년 악성코드 처음 설치됐지만, SKT 이제야 발견

최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관 합동 조사결과 2차 브리핑을 하고 있다. /사진=뉴스1

SK텔레콤 해킹 사고에 대한 2차 민관합동 조사 결과, 23대 서버에서 악성코드 25종이 발견된 것으로 나타났다. 지난달 1차 발표 때보다 악성코드는 21종, 감염서버는 18대 늘었다. 감염 서버 중에는 단말기 고유식별번호(IMEI)와 이름·생년월일·전화번호·이메일 등 개인정보가 포함된 서버 2대도 포함돼 우려가 커진다. IMEI 유출시 SKT 유심보호서비스가 무력화돼서다.

또 SKT는 3년 전 악성코드에 처음 감염됐지만, 이번 사고 발생 후에야 알게 된 것으로 나타났다.

19일 과학기술정보통신부는 정부서울청사에서 이같은 내용의 민관합동 조사 2차 결과를 발표했다. 조사단이 4월19일~5월14일 리눅스 서버 약 3만여대를 4차례 점검한 결과, 23대 서버에서 악성코드 25종이 발견됐다. 이 중 15대는 정밀 분석을 완료했고 나머지 8대는 이달 말까지 분석을 진행한다. 악성코드도 기존에 공개됐던 BFP도어 계열 외에 웹셸 1종이 추가 발견됐다.

과기정통부에 따르면 유출이 확인된 유심 정보는 △가입자 전화번호 △가입자식별번호(IMSI) △유심 인증키(Ki) 2종이다. 총 9.82GB에 달하는 규모로, IMSI 기준 2695만7749건이 유출됐다. IMSI와 인증키가 나란히 묶여 있는 점을 고려하면, 사실상 2500만(알뜰폰 포함) 전 가입자의 유심 정보가 유출된 것으로 해석된다.

━

IMEI 유출 없다더니…개인정보 암호화 안돼

━

SKT 유심보호서비스 /사진=SKT

문제는 15대 중 2대에 IMEI 29만1831건과 다수의 개인정보(이름·생년월일·전화번호·이메일 등)가 포함됐다는 점이다. IMEI란 기기에 부여되는 15자리의 고유 식별번호다. 기기 식별 및 분실·도난 방지에 쓰인다. 그동안 정부와 SKT는 "유심 외 개인정보 유출은 없었고 IMEI도 유출되지 않아 유심보호서비스로 복제폰 피해를 막을 수 있다"고 강조해왔다.

조사단은 지난 11일 감염 서버를 정밀 포렌식 하던 과정에서 연동 서버에 IMEI와 암호화되지 않은 개인정보가 임시 저장된 사실을 발견했다. 방화벽 로그기록이 남아있는 2024년12월3일∼2025년4월24일에는 IMEI와 개인정보가 유출되지 않았다는 점을 확인했다. 그러나 최초 악성코드가 설치된 2022년6월15일부터 2024년12월2일까지 유출 여부는 미확인 상태다. 최우혁 과학기술정보통신부 정보보호네트워크정책관은 "웹셸이 최초 설치된 시점이 2022년6월15일로, SKT는 이번 사고가 난 뒤에 포렌식 하면서 알게 됐다"고 설명했다.

전문가들은 로그기록이 없는 경우 유출 여부 확인이 힘들다고 말한다. 이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장도 "기술적으로 로그가 없으면 판단하기 어렵다"며 "수사기관이나 협력 기관이 조사하는 과정에서 (유출 여부에 대한) 정보가 나올 수 있어 다각도로 검토 중"이라고 말했다.

최악의 경우 IMEI와 유출됐다면 유심보호서비스는 무용지물이 된다. 유심보호서비스는 유심 정보(IMSI)와 단말기 정보(IMEI)를 묶어 관리해 복제 유심을 미등록 단말기에 꽂을 시 차단하는 서비스다. IMEI까지 유출됐다면 이를 우회할 가능성이 높다. 김승주 고려대 정보보호대학원 교수는 "IMEI가 유출됐다면 유심보호서비스는 무력화된다"며 "SKT의 FDS(비정상 인증 차단 시스템)를 어느 정도 고도화했느냐에 달렸다"고 말했다.

다만 과기정통부는 IMEI 만으론 복제폰을 만들 수 없다고 강조했다. 류제명 과기정통부 네트워크정책실장은 "휴대폰 제조사에 확인한 결과, 제조사가 가진 단말기 인증키 값 없이 IMEI 만으론 복제폰을 만드는건 물리적으로 불가능하다"고 설명했다. 이에 대해 염흥열 순천향대 정보보호학과 교수는 "이론적으론 IMSI, IMEI, 인증키를 확보하면 복제폰이 가능하지만, 실무적으로 통신사가 단말기 접속 여부를 결정할 때 이외 다른 정보를 요구하는지가 관건"이라고 설명했다.

━

해킹 세력 특정 못해…"통화기록 해킹 없어"

━

SKT 해킹 사고가 발생한 지 한 달이 됐지만, 배후는 오리무중이다. 과기정통부는 BPF도어 은닉성을 고려하면 기존보다 정교한 분석작업이 필요하다는 입장이다. 류 실장은 "BPF도어는 통상 상업적, 경제적 목적으로 특정 데이터베이스(DB)를 탈취해 거래를 시도하는 악성코드와 양상이 다르다"며 "서버에 침투한 목적을 면밀히 검토하고 있다. 전례없이 강도 높은 조사를 진행 중"이라고 강조했다.

앞서 국회 SKT 청문회에선 해커의 목적이 '누가 언제 어디서 누구와 통화했는지'에 대한 CDR(통화상세기록) 일 수 있다는 지적이 제기됐다. 이에 대해 이 본부장은 "현재까지 조사한 범위에서 CDR DB 해킹은 발견되지 않았다"고 설명했다.

과기정통부는 리눅스 서버를 포함한 SKT 전 서버를 대상으로 5차 점검을 진행하고 있다. 악성코드 감염 서버에 개인정보가 포함된 만큼 개인정보보호위원회에 조사단이 확보한 서버 자료를 공유했다. 과기정통부는 오는 6월 말 조사 결과 및 SKT 행정처분을 발표할 방침이다. 과기정통부는 "앞으로도 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우 이를 투명하게 공개하고 사업자가 신속히 대응토록 하는 한편 정부 차원의 대응책도 강구해 나갈 계획"이라고 말했다.

윤지혜 기자 yoonjie@mt.co.kr