민관합동조사단, SKT 침해사고 조사결과 2차 발표
"총 23대 서버에서 감염 확인…15대 정밀분석 완료"
[세종=뉴스핌] 이경태 기자 = SK텔레콤 해킹 사고로 가입자 전원의 유심(USIM) 정보를 비롯해 개인정보가 관리되는 서버도 악성코드에 감염된 것으로 드러났다.
특히 SKT에 대한 해킹 공격이 3년에 걸쳐 장기간에 걸쳐 이뤄졌고, 피해 규모도 방대해 국가 차원의 안보 대응이 필요하다는 지적도 나온다.
과학기술정보통신부 SKT 침해사고 민관합동조사단은 19일 정부서울청사에서 이같은 내용의 SKT 침해사고 2차 조사 결과를 발표했다.
조사단은 현재까지 총 23대의 서버 감염을 확인했으며, 이 중 15대에 대한 정밀분석을 완료하고 잔여 8대에 대한 분석을 진행 중이다.
1차 조사결과에서 발표했던 유출된 유심정보의 규모는 9.82GB이며, 가입자 식별키(IMSI) 기준 2695만7749건으로 확인됐다.
 |
| [서울=뉴스핌] 최지환 기자 = 가입자 유심(USIM) 정보를 해킹 당한 SK텔레콤이 유심 무료교체 서비스를 시작한 지난달 28일 서울 강서구 김포공항 국제선 SKT 로밍센터에서 고객들이 유심교체를 위해 줄을 서 있다. 2025.04.28 choipix16@newspim.com |
조사단은 감염된 서버 중 개인정보 등을 저장하는 2대의 서버를 확인하고 지난 18일까지 2차에 걸쳐 자료 유출 여부에 대한 추가적인 조사를 실시했다. 해당 서버는 통합고객인증 서버와 연동되는 서버들로, 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 포함되어 있었다.
침해사고 발생 후 복제폰으로 인한 피해 우려로 IMEI 유출 여부에 대한 국민적 관심이 높았던 가운데, 조사단은 추가 조사를 통해 해당 서버에 총 29만1831건의 IMEI가 포함된 사실을 확인했다. 그러나 방화벽 로그기록이 남아있는 기간에는 자료유출이 없었으며, 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(2022년 6월 15일2024년 12월 2일)의 자료 유출 여부는 현재까지 확인되지 않았다.
현재까지 발견된 악성코드는 총 25종으로, BPFDoor계열 24종과 웹셸 1종이다. 조사단은 1차 공지(4월 25일)에서 4종, 2차 공지(5월 3일)에서 8종의 악성코드를 공개했으며, 이번에 BPFDoor 계열 12종과 웹셸 1종을 추가로 확인했다.
조사단은 SKT의 리눅스 서버 약 3만여 대에 대해 4차례에 걸친 점검을 진행했다. 특히, 4차 점검에서는 국내외 알려진 BPFDoor 악성코드 변종 202종을 모두 탐지할 수 있는 툴을 적용했다.
조사단은 개인정보가 포함된 서버들을 확인한 즉시(5월 11일) 사업자에게 정밀 분석이 끝나기 전이라도 자료 유출 가능성에 대해 자체 확인하고 국민 피해를 예방할 수 있는 조치를 강구하라고 요구했다.
개인정보보호위원회에도 개인정보 포함 사실을 통보(5월 13일)하고, 사업자의 동의를 얻어 조사단에서 확보한 서버자료를 개인정보보호위원회와 공유(5월 16일)했다.
biggerthanseoul@newspim.com
