로그 보관 4개월여 그쳐…코드 잠입 추정부터 2년여 기간 피해 여부 안갯속
SK텔레콤 "FDS 최고 수준 격상…피해 사례 현재까지 파악 안돼"
민관 조사단 "폰 복제 물리적 불가…과도한 불안 불필요"
SK텔레콤 "FDS 최고 수준 격상…피해 사례 현재까지 파악 안돼"
민관 조사단 "폰 복제 물리적 불가…과도한 불안 불필요"
![유심 교체하기 위해 대기 중인 SKT 이용자들
(서울=연합뉴스) 이승연 기자 = 지난 28일 서울의 한 SK텔레콤 대리점 앞에 유심을 교체하기 위해 찾아온 사람들이 대기 중이다. 2025.4.28 [촬영 이승연]](https://imgnews.pstatic.net/image/001/2025/05/19/PCM20250428000040990_P4_20250519171914555.jpg?type=w860)
유심 교체하기 위해 대기 중인 SKT 이용자들
(서울=연합뉴스) 이승연 기자 = 지난 28일 서울의 한 SK텔레콤 대리점 앞에 유심을 교체하기 위해 찾아온 사람들이 대기 중이다. 2025.4.28 [촬영 이승연]
(서울=연합뉴스) 이승연 기자 = 지난 28일 서울의 한 SK텔레콤 대리점 앞에 유심을 교체하기 위해 찾아온 사람들이 대기 중이다. 2025.4.28 [촬영 이승연]
(서울=연합뉴스) 조성미 조현영 기자 = SK텔레콤 해킹 사건을 조사 중인 민관 합동 조사단이 단말기 고유식별번호(IMEI)와 개인정보를 저장하는 서버가 공격받은 정황을 추가로 확인하면서 유출 피해 우려가 더욱 커지고 있다.
조사단과 SK텔레콤은 스마트폰 복제 가능성이 극히 낮고 실제 피해 사례도 확인되지 않았다고 선을 그으면서도 피해 방지책을 최고 수위로 높이는 등 긴장을 유지하고 있다.
SKT 침해사고 민관합동조사단은 지난달 29일 1차 조사 결과를 발표한 데 이어 19일 현재까지 조사 결과를 2차로 발표했다.
조사단은 1차 조사 결과 악성코드 4종과 감염서버 5대를 확인했다고 발표했는데, 이날 악성코드 21종, 감염서버 18대가 추가됐다고 밝혔다.
특히 추가로 감염이 확인된 서버에는 IMEI와 이름, 생년월일, 전화번호, 이메일 등 가입자가 가입할 때 통신사에 제공하는 개인정보가 포함된 것으로 확인됐다.
서버에 저장된 29만1천831건의 IMEI는 지난해 12월 3일부터 올해 4월 24일까지는 유출되지 않은 것으로 확인됐지만, 최초로 악성코드가 설치된 시점인 2022년 6월 15일부터 2024년 12월 2일까지는 로그기록이 남아있지 않아 유출 여부가 불확실하다.
만약 로그기록이 남아있지 않은 시점에 IMEI까지 유출됐다면 '심스와핑' 등 피해 위험성이 더욱 커진다고 전문가들은 설명했다.
심스와핑은 유심을 복제해 다른 스마트폰에 꽂아 불법적인 행위를 하는 사기 수법인데, 1차 조사까지만 해도 IMEI는 유출되지 않은 것으로 확인돼 심스와핑 가능성은 낮았다.
염흥열 순천향대 정보보호학과 교수는 "IMEI가 유출됐다면 심스와핑 공격 가능성이 커진 것"이라며 "유심보호서비스의 유효성에도 문제가 생길 수 있다"고 말했다.
유심보호서비스는 유심정보와 휴대전화를 1대 1로 묶어 관리하면서 두 정보가 일치하지 않으면 통신이 정상 작동하지 않게끔 막는 구조인데, 단말기 고유식별번호(IMEI)가 탈취돼 해커 손에 넘어갔다면 이러한 기능이 무용지물일 수 있기 때문이다.
IMEI 유출 가능성으로 유심보호서비스의 한계가 지적되자 SK텔레콤도 비정상 인증 차단 시스템(FDS)을 가장 높은 단계로 격상해 운영한다는 대안을 내놨다.
다만 IMEI가 유출됐을 때 나타날 수 있는 피해가 아직 발생하지 않았고, 설사 유출됐다고 해도 스마트폰 복제까지는 어렵다는 것이 조사단과 업계 관계자들의 설명이다.
!['SK텔레콤은 끝까지 책임을 다하겠습니다'
[연합뉴스 자료사진]](https://imgnews.pstatic.net/image/001/2025/05/19/PYH2025051417740001300_P4_20250519171914560.jpg?type=w860)
'SK텔레콤은 끝까지 책임을 다하겠습니다'
[연합뉴스 자료사진]
[연합뉴스 자료사진]
류정환 SKT 부사장은 2023년 6월 개발된 FDS로 2022년부터 시작된 해킹 피해를 막을 수 있느냐는 질문에 "검찰청 사고 접수 내역과 고객 불만 데이터를 모두 살폈지만 불법 유심 복제로 인한 사고는 나오지 않았다"고 대답했다.
류제명 과기정통부 네트워크정책실장은 IMEI가 설사 유출됐다고 해도 스마트폰 복제는 물리적으로 불가능하다고 했다.
류 실장은 "제조사나 사업자 판단으로 볼 때 복제폰은 물리적으로 불가능하고, 만에 하나 만들어졌어도 네트워크에 접속하는 것이 완벽하게 차단되므로 과도하게 불안해하지 않았으면 한다"면서 "SK텔레콤에 혹시 피해가 발생할 때를 대비해 보상책을 확실히 하라고 요구한 상태"라고 말했다.
다만 100% 확신할 수는 없기에 조사단은 조사를 계속하고 있다.
문송천 카이스트 경영대학 명예교수는 "서버 내 데이터베이스가 유출됐으면 해커가 데이터를 재구성해 누구를 대상으로 표적으로 삼을까 계산에 들어간 상태"라며 "휴대전화 복제만의 문제가 아니라 2차, 3차 피해를 우려해야 하는 상황"이라고 우려했다.
해커 로그 기록이 남은 지난해 12월 초 이전에 SKT에서 가입을 해지한 이들의 개인정보 유출 가능성도 제기되지만, SKT 측은 "현재로서 유출 정보는 없다"는 입장을 강조했다.
개인정보 유출로 인한 피해와 관련해서도 현재 서버에 있는 정보만으로는 금융 피해로까지 이어지기는 힘들다고 염 교수와 조사단은 설명했다.
다만 유출된 정보의 종류가 많을수록 해킹 조직이 이를 조합해 악용할 여지가 커진다는 것이 전문가들의 공통된 의견이다.
특히, SKT가 유출 정보를 암호화하지 않고 평문으로 저장한 점, 로그 기록을 4개월여로 짧게 보관한 점 등에서 이 회사가 개인정보보호법을 위반했을 가능성도 대두된다.
이에 대해 김희섭 SKT PR센터장은 "법적으로 암호화가 의무인 부분이 있고 사업자 자체적으로 하는 부분이 있는데 모두 암호화를 하면 (서비스에) 장애가 있을 수 있다"며 "이번 사고를 계기로 암호화, 보안 장치 및 인원 추가 등 신뢰 회복을 위한 조치를 더 마련하겠다"고 말했다.
[email protected]
