3년 전 악성코드 발견 못한 SKT…"개인정보 유출 없다"

윤지혜 기자, 김승한 기자 2025. 5. 20. 04:26
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

SKT 해킹 민관합동조사단 결과 발표/그래픽=윤선정

SKT 해킹 민관합동조사단 결과 발표/그래픽=윤선정

SK텔레콤 해킹사고에 대한 2차 민관합동 조사결과 감염서버 중 단말기 고유식별번호(IMEI)와 이름·생년월일·전화번호·이메일 등 개인정보가 포함된 서버 2대가 포함된 것으로 나타났다. SK텔레콤은 고도화한 FDS(Fraud Detection System·비정상인증차단시스템)로 복제폰 피해를 막을 수 있다는 입장이다.

19일 과학기술정보통신부는 이같은 내용의 2차 민관합동조사 결과를 발표했다. 조사단이 4월19일~5월14일 SK텔레콤 리눅스서버 3만여대를 4차례 점검한 결과 23대의 서버에서 악성코드 25종이 발견됐다. 지난달 1차 발표 때보다 악성코드는 21종, 감염서버는 18대 늘었다.

악성코드도 기존 공개된 'BFP도어' 계열 외에 '웹셸'(web shell) 1종이 추가로 발견됐다. 조사단은 SK텔레콤 서버가 2022년 6월15일 웹셸에 처음 감염된 후 BPF도어가 설치된 것으로 파악했다.

당초 정부와 SK텔레콤은 "고유식별번호는 유출되지 않아 복제폰 우려가 없다"고 했다. 그러나 감염서버를 정밀 포렌식한 결과 연동서버 내 임시파일에 고유식별번호 29만1831건과 암호화되지 않은 개인정보가 포함된 것으로 나타났다. 과기정통부는 해당 정보의 유출여부는
확정할 수 없다는 입장이다. 고유식별번호가 유출됐다면 해커가 SK텔레콤 유심보호서비스를 우회할 가능성이 있다.

이에 SK텔레콤은 "FDS를 업그레이드해 불법 복제폰 접속 시도도 통신망에서 차단할 수 있다"고 강조했다.

김희섭 SKT PR센터장(왼쪽부터), 임봉오 SKT MNO 사업부장, 류정환 SKT 네트워크인프라 센터장이 19일 서울 중구 삼화타워에서 SKT 일일브리핑에 앞서 고개 숙여 인사하고 있다./사진=뉴스1

김희섭 SKT PR센터장(왼쪽부터), 임봉오 SKT MNO 사업부장, 류정환 SKT 네트워크인프라 센터장이 19일 서울 중구 삼화타워에서 SKT 일일브리핑에 앞서 고개 숙여 인사하고 있다./사진=뉴스1

SK텔레콤의 유심(USIM·범용가입자식별모듈)정보 중 단말기고유식별번호(International Mobile Equipment Identity·IMEI)와 이름·생년월일·전화번호·이메일 등 개인정보 유출 가능성이 제기되며 국민들의 불안감이 높아진다. IMEI가 유출됐다면 유심보호서비스만으론 역부족이어서다.

과학기술정보통신부에 따르면 유출이 확인된 유심정보는 △가입자 전화번호 △가입자식별번호(International Mobile Subscriber Identity·IMSI) △유심 인증키(Ki) 2종이다. 총 9.82GB(기가바이트) 규모로 IMSI 기준 2695만7749건이 유출됐다. 사실상 2500만 가입자(알뜰폰 포함)의 유심정보가 유출된 것으로 풀이된다. 다만 현재까지 공공·민간영역에서 신고된 피해사례는 없다.

문제는 분석을 완료한 감염서버 15대 중 2대에 IMEI 29만1831건과 암호화되지 않은 개인정보(이름·생년월일·전화번호·이메일 등)가 포함됐다는 점이다. "IMEI와 개인정보는 유출되지 않았다"는 정부와 SK텔레콤의 주장이 뒤바뀐 셈이다.

"IMEI 유출돼도 '복제폰' 사실상 불가능"
조사단은 지난 11일 감염서버를 정밀분석하던 중 연동서버에 IMEI와 개인정보가 포함된 사실을 발견했다. 방화벽 로그기록이 남아있는 2024년 12월3일~2025년 4월24일엔 IMEI와 개인정보가 유출되지 않았다는 점을 확인했다. 그러나 2022년 6월15일~2024년 12월2일은 로그기록이 없어 유출여부를 확인할 수가 없다. IMEI란 기기에 부여되는 15자리의 고유식별번호로 기기식별 및 분실·도난방지에 쓰인다. IMEI가 유출됐다면 해커가 SK텔레콤 유심보호서비스를 우회할 수 있다.

이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장도 "기술적으로 로그가 없으면 판단하기 어렵다"며 "수사기관이나 협력기관이 조사하는 과정에서 (유출여부에 대한) 정보가 나올 수 있어 다각도로 검토 중"이라고 말했다.

SK텔레콤은 내부 데이터를 검토한 결과 IMEI는 유출되지 않았다는 입장이다. SK텔레콤은 악성코드에 감염된 2022년 6월부터 망운영 데이터와 VOC(고객의소리) 등을 검토한 결과 IMEI는 유출되지 않았으며 최악의 경우 IMEI가 유출돼도 고도화한 FDS(비정상인증차단시스템)로 복제폰을 막을 수 있다고 강조했다.

류정환 SK텔레콤 네트워크인프라센터장은 "IMEI가 유출된 것은 절대 아니다"라며 "현재까지 검토할 수 있는 모든 기록을 봤을 때 추가적인 개인정보 유출도 없다"고 확신했다. 최악의 경우 IMEI가 유출되더라도 복제폰을 만들려면 휴대폰 제조사의 인증키가 필요해 사실상 복제가 불가능한 데다 전날 도입한 'FDS 2.0'으로 복제폰이 SK텔레콤 망에 접속하는 것을 차단할 수 있다고 설명했다. 이는 SK텔레콤 망을 쓰는 알뜰폰에도 적용됐다.

류제명 과기정통부 네트워크정책실장도 "휴대폰 제조사에 확인한 결과 제조사가 가진 단말기 인증키 값 없이 IMEI만으론 복제폰을 만드는 게 물리적으로 불가능하다"고 설명했다.

윤지혜 기자 yoonjie@mt.co.kr 김승한 기자 winone@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.

머니투데이에서 직접 확인하세요. 해당 언론사로 이동합니다.