최우혁 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 열린 SKT 침해사고 관련 민관합동 조사결과 2차 발표 브리핑에 참석해 발언하고 있다. 윤웅 기자

SK텔레콤 해킹 사고로 가입자 유심(USIM) 정보 2696만여건이 유출된 것으로 확인됐다. 또 당초 정부 설명과 달리 이름, 생년월일 등 개인정보가 관리되는 서버도 악성코드에 감염된 것으로 파악됐다. 해킹 공격은 2022년부터 3년간에 걸쳐 이뤄진 것으로 나타났다. 해킹 주체와 목적이 오리무중인 가운데 해킹 피해 가능성이 커졌다는 지적이다.

과학기술정보통신부는 19일 정부서울청사에서 브리핑을 열고 SK텔레콤 침해사고 민관합동조사단의 2차 조사 결과를 발표했다.

조사 결과에 따르면 SK텔레콤 해킹 사고는 2022년 6월 15일 처음 발생했다. 조사단은 이날 최초로 악성코드가 SK텔레콤 서버에 설치된 것으로 결론 내렸다. 3년여 전 서버에 악성코드를 심어놓은 해커가 오랜 기간 보안 취약대를 노리다가 지난달 고객 개인정보를 빼돌렸다는 것이다.

조사단이 유출됐다고 밝힌 유심 정보의 규모는 9.82GB로 가입자식별키(IMSI) 기준 2695만7749건이다. 사실상 SK텔레콤은 물론이고 유관 알뜰폰 가입자 전원의 정보가 해커 손에 넘어간 셈이다. 탈취당한 정보는 IMSI와 가입자 전화번호 등 도합 25종이다. 여기에는 이메일 등 핵심 개인정보는 포함돼 있지 않다.

하지만 이름, 생년월일, 이메일 등이 포함된 단말기 고유식별번호(IMEI)가 들어간 서버 2개가 악성코드에 감염된 사실이 새롭게 밝혀졌다. 여기에는 모두 29만2831건의 IMEI가 포함돼 있다. IMEI는 유심 복제에 필요한 정보 중 하나다. 유심이 복제되면 본인인증 무력화를 통한 금융자산 탈취 사고 가능성이 커진다. 조사단은 최초 악성코드가 설치된 시점인 2022년 6월 15일부터 지난해 12월 2일까지 2년6개월간 IMEI 유출 가능성을 열어뒀다. 해당 기간 IMEI 및 개인정보 유출 여부는 향후 정밀 포렌식 작업을 거쳐야 파악될 것으로 보인다.

전문가들은 중국의 지능형지속공격(APT) 해커 그룹 ‘레드 맨션’을 유력한 용의자로 보고 있다. 정부도 탈취된 데이터베이스(DB)가 다크웹에 거래 매물로 올라오거나 2차 공격 시도가 감지되지 않는 점을 들어 상업적·경제적 이익 목적이 아닐 가능성에 무게를 두고 있다. 류제명 과기정통부 네트워크정책실장은 “자료 탈취가 목적인지, 더 깊숙한 서버로 침투하기 위한 거점 역할을 만들기 위한 공격이었는지 등 시나리오가 다양해 이에 대해 면밀히 들여다보고 있다”며 “공격자가 북한이나 국제 테러단체와 연관돼 있는지 여부에 대해서는 수사·정보 기관에서 조사할 것”이라고 밝혔다.

국민일보

김지훈 기자([email protected])