14일 서울 시내 한 SKT 매장에 유심보호서비스 관련 안내문이 붙어있다. 연합뉴스

[서울경제]

SK텔레콤(017670) 유심 정보 해킹 공격을 한 악성코드가 민관합동조사단의 추가 조사 과정에서 새로 21종 발견돼 총 25건으로 확인됐다. 감염 서버 또한 첫 발표 당시 5대에서 총 23대로 늘었다. 이들 서버 중 2대에는 단말기고유식별번호(IMEI) 29만여건이 포함된 것으로 파악됐다. 정부는 SK텔레콤에 IMEI 고객 정보가 유출될 가능성에 대해 자체 확인하고 국민 피해를 예방할 수 있는 조치를 강구하라고 요구했다.

과학기술정보통신부는 19일 정부서울청사에서 SK텔레콤 침해사고 민관합동조사단의 조사결과를 2차로 발표했다. 지난달 29일 이뤄진 1차 조사 발표 이후 3주만이다.

조사단은 이날 기준 총 23대의 서버 감염을 확인해 15대에 대한 포렌식 등 정밀분석을 완료했다. 그 결과 1차 발표 당시 알려진 BFP도어 계열 악성코드를 추가로 찾아내 현재까지 총 25종의 악성코드를 발견했다. BPF도어 계열 24종과 웹셸 1종이 포함됐다.

SK텔레콤 침해사고 민관합동조사단의 조사결과. 사진제공=과기정통부

1차 발표 이후 공격을 받은 정황이 있는 서버는 추가로 18대가 식별됐다. 현재까지 총 23대가 악성코드에 감염된 것으로 확인됐다는 얘기다. 23대 중 정밀 분석이 끝난 15대 중 개인정보 등을 저장하는 서버 2대가 확인됐다.

해당 서버 2대는 통합고객인증 서버와 연동되는 서버로 일정 기간 임시로 저장되는 파일 안에 고객 인증을 목적으로 호출된 IMEI와 다수의 개인정보(이름·생년월일·전화번호·e메일 등)가 있었다. 조사단은 해당 서버의 저장된 파일에 총 29만1831건의 IMEI가 포함된 사실도 확인했다. 2차에 걸쳐서 정밀 조사를 진행한 결과 방화벽 로그기록이 남아있는 기간(2024년 12월3일∼2025년4월24일)에는 정보 유출이 없었지만 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(2022년6월15일∼2024년12월2일)의 유출 여부는 현재로서는 확인되지 않았다.

조사단은 개인정보 등이 저장된 문제의 서버들을 확인한 지난 11일 즉시 SK텔레콤에 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체 확인하고 이로 인한 국민 피해를 예방할 수 있는 조치를 강구하라고 요구했다. 또한 개인정보의 경우 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라 보고 개보위에도 개인정보가 포함돼 있다는 사실을 통보하는 한편 조사단에서 확보한 서버자료를 개보위에 공유했다.

조사단은 현재까지 SK텔레콤의 리눅스 서버 약 3만여대에 대해 4차례에 걸쳐 점검했다. 1차 점검 당시 확인한 BPF도어 계열 악성코드의 특성을 감안해 다른 서버에 대한 공격이 있었을 가능성을 확인하기 위한 목적이었다. 특히 4차 점검 때에는 국내외 알려진 BPF도어 악성코드 변종 202종을 모두 탐지할 수 있는 툴을 적용했다. 3차 점검까지는 SK텔레콤이 자체 점검 후 조사단이 이를 검증하는 방식으로 진행했고 4차 점검은 조사단이 한국인터넷진흥원(KISA)의 인력을 지원받아 직접 조사했다. 조사단은 1차 조사결과에서 발표한 유출된 유심정보의 규모가 9.82GB이며 가입자 식별키(IMSI) 기준 2695만7749건임을 확인했다. 6월까지 SK텔레콤 서버 시스템 전체를 점검한다는 목표다.

서울경제

김기혁 기자([email protected])