SKT 민관조사단, "추가 악성코드 시점·위치·VPN 취약점 등 조사 중"

과기부, 네카오, 배민, 쿠팡 등 정보보호 실태 점검중

(인천공항=뉴스1) 장수영 기자 = 6일 오전 인천국제공항에 설치된 SKT 부스에서 직원이 유심을 교체하고 있다. 2025.5.6/뉴스1 /사진=뉴스1화상

[파이낸셜뉴스]SK텔레콤 서버 해킹 사건을 수사 중인 민관 합동 조사단이 새롭게 드러난 악성 코드 8종의 유입 시기와 저장 위치 등을 집중 분석하고 있다.

조사단은 이번에 확인된 악성 코드들이 해킹 초기 발견된 홈가입자서버(HSS) 내에 있었던 것인지, 아니면 별도 장비에 은닉되어 있었는지를 정밀히 포렌식 조사 중이라고 6일 밝혔다.

SK텔레콤은 지난달 18일 보안관제센터에서 데이터가 빠져나간 트래픽 이상을 감지한 이후 과금 분석 장비에서 악성코드가 심어진 사실과 함께 파일을 삭제한 흔적을 발견했다. 이어 다음날 4G 및 5G 가입자가 음성 통화를 이용할 때 단말 인증을 수행하는 홈가입자서버(HSS)의 데이터 유출 정황을 확인했다.

한국인터넷진흥원(KISA)은 이와 관련해 지난 3일 '악성 코드 위협정보 2차 공유'를 통해 추가 악성 코드 8종을 공개하며, 리눅스 기반 시스템을 겨냥한 공격 정황이 포착됐다고 알렸다. 민관 조사단은 현재 해당 코드들이 침투하거나 생성된 시점과 경로를 면밀히 조사하고 있으나, “아직 확정된 결과는 없다”고 밝혔다.

보안 업계에서는 SK텔레콤이 사용한 리눅스 서버가 이반티(Ivanti) 가상사설망(VPN) 장비의 보안 취약점을 통해 공격받았을 가능성을 제기하고 있다. 그러나 실제 사용된 VPN 장비가 이반티 제품인지, 또는 시스코 등 다른 업체 제품인지는 확인되지 않고 있다.

한편 과학기술정보통신부는 통신 3사와 주요 플랫폼 기업들(네이버, 카카오, 쿠팡, 우아한형제들)을 대상으로 정보보호 실태를 점검하고, 이번 SK텔레콤 사태에 사용된 악성 코드에 대한 철저한 점검을 당부했다. 이는 플랫폼 업계에서도 유사한 위협에 노출될 가능성을 사전에 차단하기 위한 조치다.

조사단 관계자는 “현재까지 플랫폼 기업들에서 해당 악성 코드로 인한 피해는 보고되지 않았다”고 전했다.

한편, SK텔레콤이 지난 5일부터 전국 2600여 개 T월드 매장에서 신규 가입 및 번호이동 접수를 중단한 가운데, 같은 날 KT와 LG유플러스로 각각 7087명, 6658명 총 1만 3745명의 가입자가 이동한 것으로 나타났다. 유심 보호 서비스 자동 가입과 연휴 등의 영향으로 이탈 규모는 감소세를 보이고 있다. 지난주 후반 3만명대였던 가입자 이탈 추세 규모는 연휴 영향과 유심보호서비스 자동가입 등 사태가 진정양상을 보이며 축소됐다.

ksh@fnnews.com 김성환 기자