SKT 해킹사고 2차 조사 발표…2696만건 유심정보 유출
SK텔레콤(SKT) 해킹 사고에 대한 민관합동조사단의 2차 조사 결과가 나왔다. 지금까지 총 23대의 서버가 25종의 악성코드에 감염됐고, 이로 인해 2696만명 가입자의 식별키가 해킹당한 것으로 조사단은 파악했다. “단말기 고유식별번호(IMEI) 유출은 없었기 때문에 복제 폰 우려가 없다”고 말한 것과 달리, 이번 조사 결과에서는 해킹된 서버 일부에 IMEI 정보가 포함되어 있었던 것으로 밝혀졌다.
19일 SKT 침해사고 민관합동조사단(이하 조사단)이 SKT 해킹사고에 대한 2차 조사결과를 발표했다. 최우혁 과학기술정보통신부 정보보호네트워크 정책관은 “조사단은 6월까지 총 네 차례에 걸쳐 SKT 서버 시스템 전체를 점검했다”면서 “리눅스 서버 약 3만대를 포함한 모든 서버로 점검 대상을 확대해 실시했다”고 말했다.
조사단에 따르면, 지난 5월 14일까지 총 23대의 서버 감염을 확인했고, 그 중 15대에 대한 포렌식 등의 정밀분석을 완료했다. 현재 나머지 8대에 대한 분석을 진행하면서, 타 악성코드에 대해서도 탐지 및 제거를 위한 5차 점검을 하고 있다. 보고에 따르면, 현재까지 BPFDoor(리눅스 기반 백도어) 계열 24종, 웹셸 1종 등 25종의 악성코드를 발견, 조치를 취한 상황이다.
조사단은 특히 4차 검증을 매우 강도 높게 진행했다고 강조했다. 지난 1차부터 3차까지 점검은 SKT가 자체 점검 후 조사단이 이를 검증하는 방식으로 진행했다면, 4차 점검은 조사단이 한국인터넷진흥원의 인력을 지원받아 직접 진행했다. 4차에서는 KT 점검 과정에서 발견된 24종을 포함해 국내외에 알려진 BPFDoor 악성코드 변종 202종을 모두 탐지할 수 있는 툴을 적용했다.
그 결과, 조사단은 지난 1차 조사 결과에서 발표한 유출된 유심정보의 규모가 9.82GB이며, 가입자 식별키 임시기준으로는 약 2696만건의 해킹이 일어났다고 밝혔다. 악성코드는 4월 25일 1차 공지한 4종, 5월 3일 2차 공지한 8종 외에 BPFDoor 계열 12종과 웹셸 1종을 추가로 확인했다.
1차 발표 이후 공격을 받은 정황이 있는 서버는 추가로 18대가 식별되어 현재까지 총 23대가 공격을 받은 정황이 있는 것으로 확인했다. 이중 15대는 포렌식, 로그 분석 등 정밀분석을 완료하였으며, 나머지 8대는 5월 말까지 분석을 완료할 예정이다. 분석이 완료된 15대 중 개인정보 등을 임시 저장하는 2대를 확인했다.
이 조사에서 핵심은 단말기 고유식별번호(IMEI) 유출 여부다. 앞서 1차 조사결과 발표에서 과기정통부는 “공격받은 정황이 있는 서버 5대를 조사한 결과 전화번호·가입자 식별키(IMSI) 등 유심 정보 25종이 유출됐고, 단말기 고유식별번호(IMEI) 유출은 없었기 때문에 복제 폰 우려는 없다”고 밝힌 바 있다.
그러나 이번 발표에서는 IMEI 유출 가능성을 시사했다. 개인 정보를 임시 저장한 서버 2대가 통합고객인증 서버와 연동되는 서버인데, 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 이름, 생년월일, 전화번호 등 다수의 개인정보가 있었기 때문이다.
최우혁 정책관은 “조사단은 조사 초기 IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검하여 감염되지 않았음을 확인하고 1차 조사 결과를 발표한 바 있다”면서 “이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI가 포함되고 있음을 확인하게 되었다”고 말했다.
또, 이 과정에서 해당 서버에 저장된 파일에 총 29만1831건의 IMEI가 포함된 사실을 확인했다고도 밝혔다.
다만, 조사단이 2차에 걸쳐서 정밀 조사를 한 결과, 방화벽 로그기록이 남아 있는 2024년 12월 3일부터 2025년 4월 24일간에는 자료 유출이 없었다. 그러나 최초로 해당 서버에 악성코드가 설치된 시점인 2022년 6월 15일부터, 로그기록이 남아 있지 않은 2024년 12월 2일까지는 자료 유출 여부가 현재까지는 확인되지 않은 상황이다.
조사단은 복제폰에 대해서는 물리적으로 불가능하다는 입장이다. 류제명 과기정통부 네트워크정책실장은 “복제폰에 대한 기술적 가능에 대해서는 제조사가 이야기할 수 있는 부분을 저희가 확인한 바에 따르면 물리적으로 불가능하다”면서 “물리적으로 15자리 IMEI 값만 가지고는 제조사가 갖고 있는 단말별 인증키 값이 없이는 물리적인 복제가 불가능하다는 그런 판단”이라고 말했다.
글. 바이라인네트워크
<남혜현 기자> smilla@byline.network
