SKT, 2022년부터 악성코드 감염…이용자 IMSI는 2695만건 유출됐다

악성코드 최초 설치 시점은 2022년 6월
이름·생년월일 등 개인정보 임시 관리 서버도 감염
총 23대 서버에서 25종 악성코드 발견돼
로그 없는 2022~2023년 유출 여부는 미확인
정부 “은폐·축소 없다⋯전례 없는 고강도 조사할 것”

▲19일 SKT 침해 사고를 조사 중인 민관합동조사단은 서울정부청사에서 2차 조사결과를 발표했다. 류제명 과기정통부 네트워크정책실장이 발표하고 있다. (이은주 기자 letswin@)

최근 해킹 사고로 SK텔레콤에서 모바일 가입자 식별번호(IMSI) 2695만7749건이 유출된 것으로 드러났다. 모바일 가입자 식별번호는 휴대폰의 유심(USIM) 또는 이심(eSIM)에 저장된 15자리 숫자로, 가입자의 고유 번호를 식별하는 데 쓰인다. 개인정보 등이 저장된 서버도 악성코드에 감염된 것으로 드러났다.

19일 SKT 침해 사고를 조사 중인 민관합동조사단은 정부서울청사에서 2차 조사결과를 발표했다. 조사단이 SKT의 리눅스 서버 약 3만 대를 4차례 점검한 결과, 현재까지 총 23대의 서버에서 25종의 악성 코드가 포착됐다. 이전에 발표된 12종(1차 발표 4종+추가 확인 8종)의 악성코드 외 BPF도어 계열 12종과 웹셸 1종이 추가로 확인됐다.

특히 29만1831건의 단말기 고유식별번호(IMEI)와 개인정보 등을 임시 관리했던 서버도 악성코드에 감염돼 있었다. 최우혁 과기정통부 정보보호네트워크정책관은 "분석이 완료된 서버 15대 중 개인정보 등을 임시 저장하는 2대를 확인했다"며 "해당 서버는 통합고객인증 서버와 연동되는 서버들로, 고객인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 이름, 생년월일, 전화번호 등 다수의 개인정보가 있었다"고 말했다.

1차 조사단 발표에선 IMEI 유출이 없다고 발표했는데, 이후 조사에서 IMEI 유출이 확인된 것이 대해선 "(1차 결과 발표) 당시 모든 조사 과정을 마친 것이 아니었다"고 했다.

류제명 과기정통부 네트워크정책실장은 "조사단의 1차 조사 결과는 조사단 구성된 지 6일 만에 발표했다. 이후 4차에 걸친 강도 높은 조사가 반복되면서 (IMEI 유출을) 추가로 발견하게 된 것"이라고 말했다.

또한, 악성코드가 최초로 설치된 시점은 2022년 6월 15일이었던 것으로 드러났다. 이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장은 "웹셸은 데이터가 임시로 저장돼 있던 서버에서 최초 발견됐다. 이 웹셸은 최초 감염 시점과 연관된 부분이 있다"며 "웹셸의 설치 시점이 조사 과정 중에 최초 감염 시점을 알려주는 중요한 요소로 작용했다"고 설명했다.

악성코드 최초 설치 시점인 2022년 6월 15일부터 지난해 12월 2일까지의 자료 유출 여부는 밝혀지지 않았다. 로그 기록이 남아있지 않아서다. 방화벽 로그 기록이 있는 기간인 지난해 12월 3일부터 올해 4월 24일까지는 자료 유출이 없었다. 최 정책관은 "개인정보 등이 저장된 문제의 서버들을 확인한 11일에 즉시 사업자에게 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체적으로 확인하고, 국민 피해를 예방할 수 있는 조치를 마련하라고 요구했다"고 말했다.

다만, 노출된 정보로 복제 핸드폰을 만드는 건 원천적으로 불가능하다고 설명했다. 류 실장은 "IMEI 값이 열다섯 자리의 숫자 조합인데, 이것만으로는 복제폰, 쌍둥이폰 (만드는 것)은 원천적으로 불가능하다는 게 제조사들의 해석"이라고 설명했다.

과기정통부는 SKT 침해 사고와 관련해 '전례 없이 강도 높은' 조사를 진행하고 있다고 했다.

류 실장은 "조사는 철저히 하겠다. 모든 과정을 투명하게 공개하겠다"며 "앞으로 잠재 위험을 끝까지 파헤치지 않으면 앞으로도 큰 위험이 있을 수 있다는 판단에 조사 자체를 굉장히 강도 높게 하고 있다. 절대 은폐하거나 축소하는 일은 없을 것"이라고 강조했다. 이어 "선거 기간에 있어서 증가할 수도 있는 사이버 공격에 대한 정부 전체적인 대응 태세를 높이기 위해서 지난 금요일부터 사이버 위기 경보 단계도 주의 단계로 상향했다"고 덧붙였다.