SKT 개인정보 유출 우려 커지는데… 정부 “복제폰은 불가능”

송은아 2025. 5. 20. 06:01
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
과기부, 해킹 2차 조사 결과
해킹으로 감염된 서버 총 23대
1차때 5대서 18대 추가로 확인
29만여명 정보 담긴 IMEI 노출
이름·생년월일·전화번호도 담겨
로그기록 없어 유출여부 ‘깜깜이’
과기부 “제조사서 인증키 보유해
IMEI만으로 쌍둥이 폰 못 만들어”
SKT “피해발생 땐 모든 책임질 것”
SK텔레콤 해킹 사태의 전모가 드러날수록 국민 불안이 커지고 있다. 조사 결과 전 가입자의 유심 정보가 빼돌려진 데다 안전하다던 단말기 고유식별번호(IMEI)도 해커에게 노출된 것으로 드러났다. 밝혀진 악성코드는 총 25종으로 늘었으며, 해킹이 시작된 시점도 3년 전으로 파악됐다. 해킹 규모가 점입가경이지만, 정부와 SKT는 ‘IMEI가 있어도 복제폰은 불가능하다’며 국민을 안심시켰다.

최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관 합동 조사결과 2차 브리핑을 하고 있다. 뉴스1

최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관 합동 조사결과 2차 브리핑을 하고 있다. 뉴스1
SKT 해킹 사건을 조사 중인 민관합동 조사단은 19일 정부서울청사에서 2차 조사 결과를 발표했다. 조사단이 리눅스 서버 3만여대 등을 네 차례에 걸쳐 훑어본 결과 발견된 악성코드는 총 25종으로 늘었다. 기존에 BPF도어 계열 4종과 8종이 확인된 데 이어 이번에 BPF도어 계열 12종과 웹셸 1종을 추가 확인했다. 조사단 부단장인 이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장은 “기본적으로 홈페이지를 장악하는 기술에서 널리 쓰이는 형태의 웹셸이었다”며 “웹셸이 설치되고 이후에 BPF도어 악성코드가 설치된 순으로 보인다”고 설명했다. 해킹으로 감염된 서버는 1차 발표 때 5대에 더해 이번에 18대가 확인 돼 총 23대가 됐다. 조사단은 이 중 15대를 정밀분석했고 나머지 8대는 분석 중이다. 유출이 파악된 유심 정보의 규모는 9.82GB로, 가입자 식별번호(IMSI) 기준 2695만7749건에 해당한다.

문제는 정밀분석 결과 IMEI 유출 여부가 안갯속인 데다 악성코드가 심어진 시점도 3년 전인 2022년 6월 15일로 파악됐다는 점이다. 조사단은 1차 발표 때 가입자 전화번호, IMSI 등 유심 복제에 활용될 수 있는 정보 4종이 빼돌려졌지만 IMEI는 유출되지 않아 복제폰을 통한 ‘심스와핑’ 범죄는 불가능하다고 밝힌 바 있다.

그러나 조사단이 분석한 서버 15대 중 2대에서 IMEI를 포함한 개인정보 파일이 저장된 것이 확인됐다. 이 2대는 통합고객인증 서버와 연동되는 서버들로, 고객 인증을 목적으로 호출된 IMEI와 이름, 생년월일, 전화번호, 이메일 등을 담고 있었다. 파일 내 IMEI는 총 29만2831건이다. 조사단은 방화벽에 로그 기록이 남아 있는 기간(2024년 12월3일∼2025년 4월24일)에는 이 IMEI가 유출되지 않았다고 강조했다.

지난 14일 오전 서울 시내 한 SK텔레콤 매장에 유심보호서비스 관련 안내문이 게시돼 있다. 뉴시스

지난 14일 오전 서울 시내 한 SK텔레콤 매장에 유심보호서비스 관련 안내문이 게시돼 있다. 뉴시스
더욱이 로그기록이 없는 기간도 규명돼야 한다. 최초 악성코드가 설치된 시점인 2022년 6월 15일부터 지난해 12월 2일까지 로그 기록이 남아 있지 않아 개인정보 유출 여부가 ‘깜깜이’인 상황이다. 최우혁 과학기술정보통신부 정보보호네트워크정책관은 “지금 그 기간에 대해 자료가 남아 있지 않기 때문에 어떤 추정도 어렵다”고 밝혔다.

류제명 과기부 네트워크정책실장은 “노출된 IMEI 값은 열다섯 자리의 숫자 조합으로 이에 대한 인증키를 제조사가 갖고 있어 IMEI만 가지고는 복제폰, 쌍둥이 폰이 원천적으로 불가능하다는 것이 제조사들의 해석”이라며 “만들어졌다 해도 네트워크 접속 자체가 완벽하게 차단된다는 것이 사업자(SKT)의 설명”이라고 강조했다.

SKT 역시 정보 유출로 인한 범죄 시도는 불가능하다는 입장이다. 류정환 SKT 네트워크인프라 센터장은 “IMEI로는 (단말 복제를) 하기가 불가능하고, 설사 복제했어도 현존 기술로 시도하는 건 저희 망에서 다 막을 수 있다”고 장담했다. SKT는 18일부터 비정상 인증 차단 시스템(FDS)을 한층 고도화해 이를 뚫을 확률은 극히 낮다고 밝혔다. 누군가 통신망에 접속하려 할 경우 정상적인 사람·유심·단말인지 ‘3중’으로 확인하고 있다는 설명이다. 류 센터장은 “현재 확인된 바로 추가 정보 유출은 없다”며 “2022년 6월 이후 SKT 관련 사고가 있었는지 수사기관 기록, VOC(고객 의견) 등을 분석해 말씀드리는 것”이라고 밝혔다. 그는 거듭 “이번 사고로 피해가 발생하게 되면 저희가 책임지겠다”고 약속했다.

정부는 SKT 사태를 계기로 다른 이동통신사와 플랫폼 기업, 공공기관의 보안 실태를 점검 중이다. 과기부 류 실장은 “이번에 사용된 악성코드와 공격 양태를 보면 지금까지 봐온 것보다 훨씬 더 정교한 분석 작업이 필요하다”며 “잠재된 위험을 끝까지 파헤지지 않으면 앞으로도 큰 위험이 있을 수 있다는 판단하에 조사 자체를 굉장히 강도 높게 하고 있다”고 밝혔다.

송은아 기자 sea@segye.com

Copyright © 세계일보. 무단전재 및 재배포 금지.

세계일보에서 직접 확인하세요. 해당 언론사로 이동합니다.