지난 14일 서울 시내 한 SKT 매장에 유심보호서비스 관련 안내문이 표시돼 있다. 연합뉴스
SK텔레콤 해킹으로 가입자 전원의 유심 정보가 유출됐을 뿐만 아니라 단말기 고유식별번호(IMEI)를 임시로 보관하는 서버에 이미 3년 전 악성코드가 침입한 것으로 확인됐다. 탈취될 경우 휴대폰 복제 등에 악용될 우려가 있는 IMEI도 유출됐을 가능성이 있다는 의미다. 하지만 SK텔레콤은 “휴대폰 복제는 사실상 불가능하다”고 선을 그었다.
SK텔레콤 침해사고 민관합동조사단은 19일 현재까지 서버 23대가 악성코드에 감염됐고, 악성코드 25종을 발견해 조치했다는 내용의 2차 조사 결과를 발표했다. 지난달 29일 1차 조사 때엔 감염 서버 5대, 악성코드 4종이 확인됐는데 이번에 각각 18대, 21종이 추가됐다.
감염된 서버 23대 중 15대는 정밀 분석을 마쳤다. 이 중 2대는 통합고객인증 서버와 연동되는 서버였다. 조사단은 IMEI와 이름, 생년월일, 전화번호 등 개인정보가 연동 서버의 임시 저장 파일에 포함돼 있다는 사실을 확인했다. 1차 조사 때와 달리 IMEI가 포함된 서버의 감염을 확인한 것인데, 방화벽 로그 기록이 남아 있는 지난해 12월3일부터 지난달 24일까지 해당 서버 저장 파일에 있던 29만1831건의 IMEI는 유출되지 않았다고 조사단은 밝혔다.
문제는 조사 결과 최초로 악성코드가 설치된 시점이 약 3년 전인 2022년 6월15일로 특정됐다는 것이다. 이날부터 지난해 12월2일까지는 로그 기록이 남지 않아 조사단은 유출 여부를 확인하지 못했다. 류정환 SK텔레콤 인프라네트워크센터장은 별도의 자사 브리핑에서 “현재까지 검토할 수 있는 모든 기록을 봤을 때 추가적인 유출은 없는 걸로 본다”고 말했다.
SK텔레콤은 3년 전 서버가 공격받은 사실을 지난달 유심 해킹 사고가 발생한 뒤에야 인지했다. 류 센터장은 “(패턴이 있는 유출과 달리) 침해는 잡기가 상당히 어렵고, 해커들은 (악성코드) 생성 날짜를 많이 조작한다”며 변작 가능성도 제기했다. 임시 서버를 암호화하지 않은 데 대해선 “암호화를 하고 백신을 설치하면 성능이 저하되는 면이 있다”면서 “미흡한 부분이 있었고 전체적으로 이를 짚어보고 있다”고 말했다. 로그 기록을 짧게 보관한 점도 적절했는지 들여다볼 부분이다.
유출된 유심 정보의 규모는 9.82GB(기가바이트)로 파악됐다. 이는 가입자 식별번호(IMSI) 기준으로 2695만7749건에 해당한다. SK텔레콤 가입자와 SK텔레콤 회선을 쓰는 알뜰폰 가입자 총수를 합한 수치인 2500만명에 사물인터넷(IoT) 회선 등이 합쳐진 숫자로 추정된다. 조사단은 통화 세부 기록(CDR) 관련 해킹은 발견되지 않았다고 전했다.
당국과 SK텔레콤 모두 복제폰 피해가 발생할 가능성은 거의 없다는 입장이다. 양쪽 모두 휴대폰 제조사로부터 단말 인증키 값은 제조사들이 가지고 있기 때문에 IMEI 값만으로 ‘쌍둥이 폰’을 만들 수 없다는 답변을 받았다고 밝혔다. SK텔레콤은 설령 IMEI가 유출됐다고 해도 자사가 전 가입자를 대상으로 제공하고 있는 비정상 인증 차단 시스템(FDS)과 유심보호서비스로 피해를 차단할 수 있다고 자신했다. 그래도 불안한 고객에게는 유심을 교체해주고 있다는 것이다. 불법 유심·단말 복제로 인한 피해 발생 시 회사가 100% 책임진다고도 거듭 강조했다.
SK텔레콤은 전날부터 불법 복제 단말기 차단을 위해 고도화한 FDS 2.0를 적용하고 있다. 단말기가 망에 접속하면 정상 가입자인지, 정상 유심인지, 정상 단말기인지를 차례로 확인해 복제 위험을 막는다고 회사는 설명했다.
추가 조사를 통해 중국계 해커 그룹이 주로 사용하는 BPF도어 계열 악성코드 외에 ‘웹셸’ 1종이 새로 확인됐다. 이번 해킹의 배후에 중국 해커 집단이 있다는 추정에 대해 당국과 SK텔레콤 모두 수사 중인 사안이라며 말을 아꼈다.
류제명 과학기술정보통신부 네트워크정책실장은 “이번 해킹이 상업·경제적 목적으로 특정 데이터베이스에서 탈취를 하고 다크웹에서 거래하는 것과는 양상이 달라 서버에 들어온 목적이 무엇일지도 면밀히 들여다보고 있다”고 말했다.
개인정보보호법에 따라 독립적인 조사를 진행 중인 개인정보보호위원회도 “악성코드에 최초 감염된 시점이 오래된 점을 고려해 감염 경위, 유출 정황 등을 면밀히 조사하고 있다”고 밝혔다.
국회 과학기술정보방송통신위원회 소속 더불어민주당·조국혁신당 의원들은 이날 2차 조사 결과에 대해 “SK텔레콤의 총체적 정보보안 관리 부실과 이를 방치한 정부의 무능을 확인했다”고 비판했다.
