첫 해킹 공격 2021년 8월… 중간조사 때보다 10개월 빨라

SKT, 2022년 알고도 조치 안해

SK텔레콤 해킹 사고와 관련해 해커의 공격은 2021년부터 이뤄졌으며, 2022년 회사 측이 침해 사실을 발견하고도 적절한 조치를 하지 않아 피해를 키웠다는 조사 결과가 나왔다.

4일 과학기술정보통신부가 구성한 민관합동조사단은 이런 내용을 담은 최종 조사 보고서를 내놨다. 조사단은 SK텔레콤이 보유한 4만2605대 전체 서버를 조사한 결과 28대 서버가 감염됐고, 33종의 악성코드가 확인됐다고 밝혔다. 유출된 유심 정보는 2696만건이다. 또 해커가 SK텔레콤 내부 서버에 최초로 악성 코드를 심은 시점은 2021년 8월 6일로 파악됐다. 이는 한 달 전 중간 조사 결과 발표 때보다 10개월 이른 시점이다. 해커는 외부 인터넷과 연결된 회사 시스템 관리망 서버에 접속해 악성코드를 심었고, 이를 통해 유심 정보가 보관된 코어 서버에 접속, 대량으로 정보를 빼낸 것으로 조사됐다.

통화 상대나 시점 등이 담긴 통신 기록(CDR)이나 복제폰에 악용될 수 있는 단말기 고유식별 번호(IMEI) 유출은 로그 기록(사용자 접속 기록)이 남아 있는 기간(2024년 12월~2025년 4월)에는 없었던 것으로 조사됐다. 하지만 악성코드 감염 시점부터 2024년 12월까지는 로그 기록이 없어 이 기간 민감 정보 유출 여부는 확인이 불가능했다.

조사단은 SK텔레콤의 계정 정보 관리 부실, 침해 사고 대응 미흡, 주요 정보 암호화 조치 미흡 등을 사고의 원인으로 지목했다. 조사단은 “SK텔레콤은 해커가 치밀한 사이버 공격을 감행하는 동안 특이점을 발견하고도 당국에 알리지 않은 채 자체 해결책으로 대응하다 문제를 키웠다”고 했다. 또 시스템 관리망 내 서버 계정의 비밀번호 만료일이 설정되어 있지 않고, 비밀번호를 변경하지 않아 해커 공격의 빌미를 준 것으로 조사됐다.

과기정통부는 SK텔레콤에 재발 방지를 위해 계정 비밀번호 관리 강화, 주요 정보 암호화, 정보 보호를 위한 인력·예산 확대를 지시했고, 연말까지 이행 여부를 확인한다는 방침이다.