[사설]2695만 건 털린 SKT ‘유심 해킹’… 이미 3년 전 시작됐다

19일 서울의 한 SK텔레콤 대리점에 신규 가입 중단 안내문이 붙어 있다. SK텔레콤 해킹 사건을 조사 중인 민관합동조사단은 이날 2차 조사 결과를 내고 첫 악성코드 감염이 2022년 이뤄졌다고 밝혔다. 또 단말기고유식별번호(IMEI)와 개인정보를 저장하는 서버가 공격받은 정황이 있다고도 했다. 뉴시스

SK텔레콤 해킹으로 유출된 유심 정보가 2695만7749건에 달하고, 악성코드가 최초로 감염된 시점은 2022년 6월인 것으로 확인됐다. 과학기술정보통신부·한국인터넷진흥원(KISA) 등 민관합동조사단은 이 같은 내용의 SK텔레콤 해킹 2차 조사 결과를 발표했다. 3년이라는 장기간에 걸쳐 SK텔레콤 가입자 2500만 명보다 큰 규모의 정보가 유출됐다는 점에서 단순한 해킹 사고로 보기 어렵다는 지적이다.

이번 조사 결과 악성코드 25종이 서버 23대를 감염시킨 것으로 나타났다. 1차 조사보다 악성코드는 21종, 서버는 18대가 늘어났다. 그만큼 유출된 정보가 많아진 것이다. 단말기 고유식별번호(IMEI) 29만1831건과 이름, 생년월일, 전화번호, 이메일 등 개인정보까지 추가로 유출됐다. 1차 조사에서는 유심에 저장된 가입자 식별키(IMSI) 정보만 유출됐을 뿐 단말기에 내장된 고유식별번호(IMEI) 정보는 유출되지 않아 유심 복제 가능성이 작다고 했다. 하지만 이 두 가지 정보를 조합하면 휴대전화 복제가 가능하고 금융 거래에 악용될 가능성도 배제할 수 없다. 두 가지 정보가 일치하지 않으면 네트워크 접속을 차단하는 현재 유심 보호 서비스도 무력화될 수 있다.

앞으로 그 해킹 피해와 규모가 어디까지 늘어날지 알 수 없다는 점도 문제다. SK텔레콤은 4∼5개월 치 로그 기록만 보관하고 있어 악성코드가 최초 설치된 2022년 6월 15일부터 지난해 12월 2일까지는 로그 기록이 남아 있지 않다. 이 기간에 유출된 정보의 종류와 규모를 확인하기 어렵다는 뜻이다.

3년간 서버를 휘저은 이번 해킹은 중국계 해커 그룹이 주로 사용하는 BPF도어라는 악성코드가 사용됐다. 시스템에 은닉했다가 특정 명령이 내려지면 활성화되기 때문에 국가 기반시설을 겨냥한 사이버전에 활용될 위험이 있다는 전문가 경고가 나온다. 과기부는 “이번 해킹이 경제적 목적으로 특정 데이터베이스를 탈취하고 다크웹 등에서 거래를 시도하는 양상과 달라 해커 서버 침입 목적을 들여다보고 있다”고도 했다. 정부와 SK텔레콤은 물리적으로 휴대전화 복제가 어렵다고 가입자를 안심시키기에 급급할 것이 아니라 국가 안보와 직결된 이동통신망의 보안을 강화하기 위한 대책부터 서둘러야 한다.