민관합동조사단, SKT 사이버 침해사고 2차 발표
SK텔레콤 FDS 고도화 작업 진행중
SK텔레콤 FDS 고도화 작업 진행중
![유심 교체하기 위해 대기 중인 SKT 이용자들
(서울=연합뉴스) 이승연 기자 = 지난 28일 서울의 한 SK텔레콤 대리점 앞에 유심을 교체하기 위해 찾아온 사람들이 대기 중이다. 2025.4.28 [촬영 이승연]](https://imgnews.pstatic.net/image/001/2025/05/19/PCM20250428000040990_P4_20250519134519532.jpg?type=w860)
유심 교체하기 위해 대기 중인 SKT 이용자들
(서울=연합뉴스) 이승연 기자 = 지난 28일 서울의 한 SK텔레콤 대리점 앞에 유심을 교체하기 위해 찾아온 사람들이 대기 중이다. 2025.4.28 [촬영 이승연]
(서울=연합뉴스) 이승연 기자 = 지난 28일 서울의 한 SK텔레콤 대리점 앞에 유심을 교체하기 위해 찾아온 사람들이 대기 중이다. 2025.4.28 [촬영 이승연]
(서울=연합뉴스) 조현영 기자 = SK텔레콤 사이버 침해 사고를 조사 중인 민관합동조사단이 단말기 고유식별번호(IMEI)와 개인정보를 저장하는 서버가 공격받은 정황을 추가로 확인하면서 유출 피해 우려가 더욱 커지고 있다.
그러나 조사단은 스마트폰 복제 가능성은 극히 낮다고 선을 그었다.
SKT 침해사고 민관합동조사단은 지난달 29일 1차 조사 결과를 발표한 데 이어 19일 현재까지 조사 결과를 2차로 발표했다.
조사단은 1차 조사 결과 악성코드 4종과 감염서버 5대를 확인했다고 발표했는데, 이날 악성코드 21종, 감염서버 18대가 추가됐다고 밝혔다.
특히 추가로 감염이 확인된 서버에는 IMEI와 이름, 생년월일, 전화번호, 이메일 등 가입자가 가입할 때 통신사에 제공하는 개인정보가 포함된 것으로 확인됐다. 다만 현재까지 통화기록 데이터는 포함되지 않은 것으로 확인됐다.
서버에 저장된 29만1천831건의 IMEI는 지난해 12월 3일부터 올해 4월 24일까지는 유출되지 않은 것으로 확인됐지만, 최초로 악성코드가 설치된 시점인 2022년 6월 15일부터 2024년 12월 2일까지는 로그기록이 남아있지 않아 유출 여부가 불확실하다고 조사단은 발표했다.
만약 로그기록이 남아있지 않은 시점에 IMEI까지 유출됐다면 '심스와핑' 등 피해 위험성이 더욱 커진다고 전문가들은 설명했다.
심스와핑은 유심을 복제해 다른 스마트폰에 꽂아 불법적인 행위를 하는 사기 수법인데, 1차 조사까지만 해도 IMEI는 유출되지 않은 것으로 확인돼 심스와핑 가능성은 낮았다.
염흥열 순천향대 정보보호학과 교수는 "IMEI가 유출됐다면 심스와핑 공격 가능성이 커진 것"이라며 "유심보호서비스의 유효성에도 문제가 생길 수 있다"고 말했다.
다만 IMEI가 유출됐을 때 나타날 수 있는 피해가 아직 발생하지 않았고, 설사 유출됐다고 해도 스마트폰 복제까지는 어렵다는 것이 조사단과 업계 관계자들의 설명이다.
최우혁 과기정통부 정보보호네트워크정책관은 이날 발표에서 "로그가 남아있는 부분에 대해 유출이 되지 않은 것은 분명하고 그 이전 부분에 대해서는 또 다른 추정 근거인 다크웹을 모니터링하고 있는데 확인된 바가 없다"고 말했다.
류제명 과기정통부 네트워크정책실장은 IMEI가 설사 유출됐다고 해도 스마트폰 복제는 물리적으로 불가능하다고 설명했다.
류 실장은 "제조사나 사업자 판단으로 볼 때 복제폰은 물리적으로 불가능하고, 만에 하나 만들어졌어도 네트워크에 접속하는 것이 완벽하게 차단되므로 과도하게 불안해하지 않았으면 한다"면서 "SK텔레콤에 혹시 피해가 발생할 때를 대비해 보상책을 확실히 하라고 요구한 상태"라고 말했다.
다만 100% 확신할 수는 없기에 조사단은 조사를 계속하고 있다.
이동근 KISA 디지털위협대응본부장은 "로그가 없으면 현실적으로 판단이 굉장히 어렵다"면서 "시나리오를 바탕으로 다각적인 검토를 하고 있다"고 덧붙였다.
개인정보 유출로 인한 피해와 관련해서도 현재 서버에 있는 정보만으로는 금융 피해로까지 이어지기는 힘들다고 염 교수와 조사단은 설명했다.
다만 유출된 정보의 종류가 많을수록 해킹 조직이 이를 조합해 악용할 여지가 커진다는 것이 전문가들의 공통된 의견이다.
이에 조사단은 SK텔레콤에 최악의 경우 등 모든 가능성에 대비하라고 요청한 상태다.
이에 따라 SK텔레콤은 비정상 인증 차단 시스템(FDS)을 고도화하고 있다.
악성코드는 그간 알려진 BPF도어 계열 외에 '웹셸'이 추가로 확인됐다.
다만 전문가들은 웹셸은 BPF도어 계열 수법에서 해커가 웹 서버로 들어가는 통로를 만들어주기 위해 병행하는 방법일 뿐 새로운 위험이 추가된다고 보기는 어렵다고 설명했다.
임종인 고려대학교 정보보호대학원 교수는 "웹셸은 쉽게 말하면 해커와 내부 서버에 통신 채널을 만드는 것"이라며 "BPFDoor의 특성일 뿐 별다른 것이 아니"라고 말했다.
조사단도 이번에 발견된 웹셸은 일반적으로 사용되는 형태로 특별한 코드가 아니라고 밝혔다.
일각에서는 SK텔레콤 해킹 사고의 초점이 개인정보 유출에만 맞춰지는 것에 대한 우려의 시각도 나왔다.
임 교수는 "이번 해킹은 국가 주요 인물과 주요 기반시설에 악성코드를 깔아놨다가 유사시 작동시켜 국가를 마비시키려는 시도"라며 "개인정보를 탈취한 지 한 달이 지났는데 다크웹 등에 탈취한 정보가 올라오지 않은 것을 보면 해킹의 목적이 개인정보 유출이 아니라는 뜻"이라고 말했다.
류 실장도 "(이번 해킹이) 특정 데이터베이스를 타깃으로 해서 탈취하고 다크웹 같은 데서 거래를 시도하던 것과 양상이 달라서 과연 발견된 서버에 들어온 목적이 무엇일지 면밀하게 보고 있다"고 말했다.
[email protected]