SKT 민관합동조사단, 23대 감염 서버에서 25종 악성 코드 확인

리눅스 서버 3만 대 4차례 점검…BPF도어 계열 24종·웹셸 1종 발견
개인정보 일시 저장 서버서 IMEI 29만 건 포함 파일 확인
유심 정보 9.82GB·IMSI 2695만 건 유출…자료 유출은 아직 없어
민관합동조사단, 개인정보위에 관련 사실 통보…서버 자료도 공유
정부, 통신·플랫폼사 대상 보안 점검 TF 가동…피해 신고는 없어

▲민관합동조사단은 SKT 침해사고에 대한 2차 조사결과를 19일 발표했다. (자료제공=과학기술정보통신부)

SK텔레콤 침해사고 민관합동조사단(조사단)이 총 23대의 서버에서 25종의 악성 코드를 발견했다고 19일 밝혔다.

민관합동조사단은 19일 SKT 침해 사고 2차 조사 결과를 이날 발표했다. 조사단이 SKT의 리눅스 서버 약 3만 대를 4차례 점검한 결과, 현재까지 총 23대의 서버에서 25종의 악성 코드가 포착됐다. 특히 악성 코드는 이전에 발표된 8종 외 BPF도어 계열 12종과 웹셸 1종이 추가로 확인됐다.

지금까지 확인된 악성 코드는 BPF도어 계열 24종과 웹셸 1종으로 총 25종이다. 1차 발표 이후 공격을 받은 정황이 있는 서버 18대가 추가로 발견돼, 감염된 서버는 총 23대인 것으로 확인됐다. 이 중 15대는 포렌식, 로그 분석 등 정밀 분석을 완료했으며 8대는 5월 말까지 분석을 완료할 예정이다.

조사단은 분석이 완료된 15대 중 개인정보 등을 저장하는 2대를 확인했다. 이에 전날까지 2차에 걸쳐 자료 유출 여부에 대해 추가적인 조사를 했다. 해당 서버는 통합고객인증 서버와 연동되는 서버들이었다. 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 다수의 개인정보가 있었다.

조사 결과 해당 서버의 파일에는 총 29만1831건의 IMEI가 포함돼 있었다. 조사단에 따르면, 방화벽 로그 기록이 남아 있는 기간인 지난해 12월 3일부터 올해 4월 24일까지는 자료 유출이 없었다. 다만, 최초 악성 코드가 설치된 시점부터 로그 기록이 남아 있지 않은 기간인 2022년 6월 15일부터 2024년 12월 2일까지의 자료 유출 여부는 현재까지 확인되지 않았다.

조사단은 개인정보 등이 저장된 문제의 서버들을 확인한 즉시, 사업자에게 자료가 유출될 가능성에 대해 자체 확인하고 이로 인한 국민 피해를 예방할 수 있는 조치를 마련하라고 요구했다.

또한 개인정보보호위원회의 정밀한 조사가 필요한 사항이라 보고, 개인정보위에도 개인정보가 포함돼 있다는 사실을 13일 통보했다. 조사단은 SKT의 동의를 얻어 조사단에서 확보한 서버 자료도 개인정보위에 16일 공유했다.

이번 4차 점검은 한국인터넷진흥원(KISA)의 인력을 지원받아 조사단이 직접 조사했다. 1차~3차 점검은 SKT가 자체적으로 수행한 후 조사단이 이를 검증하는 방식이었다. 조사에는 BPF도어 계열 변종 202종을 탐지할 수 있는 도구가 활용됐다.

1차 조사에서 조사단은 유출된 유심 정보의 규모가 총 9.82GB 분량, 가입자 식별키(IMSI) 기준 2695만7749건임을 확인한 바 있다.

조사단은 현재 5차 점검을 진행 중이며, 서버 시스템 전체에 대한 조사는 6월 말까지 완료될 예정이다.

한편 과학기술정보통신부는 이동통신사 및 플랫폼 기업을 대상으로 유사 사고가 발생할 가능성을 대비해 대응하고 있다. 유상임 장관은 통신 3사 및 플랫폼 4개사의 보안 리더들과 만나 현 보안 상황을 점검하고 앞으로도 철저한 점검과 대응을 당부했다.

또한 ‘통신사 및 플랫폼사 보안점검 TF’를 운영해 타 통신사 및 플랫폼 기업에 대해 매일 또는 주 단위로 점검 결과를 확인하고 있다. 중앙행정기관, 지방자치단체, 공공기관은 국정원 주관으로 점검을 진행 중이다. 현재까지 민간, 공공 분야 모두 신고된 피해사례는 없다.

조사단은 앞으로도 조사 과정에서 국민 피해로 이어질 수 있는 정황이 발견될 경우 이를 투명하게 공개하고, 사업자 및 정부 차원의 신속한 대응을 유도할 방침이다.