SKT 개인정보·IMEI 유출 가능성…3년전 악성코드 설치 추정

SK텔레콤 해킹으로 가입자 전원의 유심(USIM) 정보뿐 아니라 개인정보가 관리되는 서버도 공격을 받은 것으로 파악됐다. 해커가 악성코드를 심은 시점이 2022년 6월 15일로 특정됐으며, 해커가 남긴 기록(로그)이 없는 기간에 단말기 식별번호(IMEI) 등 핵심 정보 유출 가능성을 배제할 수 없게 됐다. SKT에 대한 해킹 공격이 3년이라는 장기간에 걸쳐 이뤄지고 피해 규모가 방대하다는 점에서 개별 기업 수준을 넘어 국가 안보 차원에서 대책을 마련해야 할 문제로 지적된다.

SK텔레콤 해킹 사건을 조사 중인 민관 합동 조사단은 19일 정부서울청사에서 2차 조사 결과를 발표했다. 1차 조사에서는 감염된 서버 5대 중 홈가입자서버(HSS) 3대에서 가입자 식별번호(IMSI)와 인증키 등 유심 정보 4종을 포함한 25종의 정보 유출이 확인됐으나, 2차 조사 결과 감염 서버가 18대 더 발견됐다. 이로써 SKT에서 해킹 공격을 받은 서버는 총 23대로 늘었다. 이 가운데 15대는 포렌식 등 정밀 분석이 끝났지만, 나머지 8대는 분석이 진행 중이다. 감염이 확인된 서버 중 2대는 통합고객인증 서버와 연동되는 기기들로 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 개인정보를 저장하고 있었다. 따라서 휴대전화 복제와 금융거래에 악용될 가능성이 있는 것으로 우려된다.

조사단은 조사 초기 IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검해 감염되지 않음을 확인했다. 이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 총 29만2831건의 IMEI 등이 포함되고 있는 것을 확인한 것이라고 부연했다. 조사단은 2차례에 걸쳐 정밀 조사한 결과, 방화벽에 로그 기록이 남아있는 지난해 12월 3일부터 지난 달 24일까지 기간에는 데이터 유출이 없었다고 밝혔다. 하지만 최초 악성코드가 설치된 시점인 2022년 6월 15일부터 지난해 12월 2일까지, 즉 로그 기록이 남지 않은 기간의 유출 여부는 확인하지 못했다. 조사단은 개인정보가 들어 있는 문제의 서버 해킹을 확인한 시점인 지난 11일 SK텔레콤에 자료 유출 가능성을 자체 확인하고 이용자 피해를 막을 조치를 강구할 것을 요구했다. 또 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라 보고 지난 13일 개보위에 개인정보 포함 서버의 해킹 사실을 통보하는 한편 서버 자료를 공유했다. 1차 조사에서 유출이 파악된 유심 정보의 규모는 9.82GB로, 가입자 식별번호(IMSI) 기준 2695만7749건에 해당한다. SK텔레콤 가입자와 SKT 회선을 쓰는 알뜰폰 가입자 총수를 합하면 2500만명으로 비슷한 규모다.