경제
전체보기
검색

x

SKT 해킹 조사단 2차 결과 발표…전 가입자 개인정보 유출 가능성(종합)

  • 이동현(경제)
  • |
  • 입력 2025-05-19 17:59  |  발행일 2025-05-19
민관조사단 2차 결과 발표 “악성코드 25종·감염서버 23대…서버 8대 분석 중”
3년 전 첫 해킹 발견, IMEI 유출 가능성 배제 못해
SKT 침해사고

최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관합동 조사결과 2차 발표 브리핑을 하고 있다. 연합뉴스

SK텔레콤을 상대로한 해킹 공격으로 가입자 전원의 유심(USIM·가입자식별장치) 정보뿐만 아니라 개인정보가 관리되는 서버도 악성코드에 감염된 것으로 파악됐다.

과학기술정보통신부는 SK텔레콤 침해 사고 민관합동조사단(이하 조사단) 2차 조사 결과를 19일 발표했다. 조사단은 최초 악성코드가 설치된 시점이 지난 2022년 6월 16일이라고 밝혔다. 이때부터 해커가 남긴 기록(로그)이 없는 기간인 작년 12월2일까지 단말기 식별번호(IMEI) 등 핵심 정보 유출 가능성도 배제할 수 없게 됐다. 다만 방화벽 로그 기록이 남아있는 기간인 작년 12월3일부터 올해 4월24일까지는 자료 유출이 없었다고 발표했다. SKT에 대한 해킹 공격이 3년이라는 장기간에 걸쳐 이뤄지고 피해 규모가 방대하다는 점에서 개별 기업 수준을 넘어 국가 안보 차원에서 대책을 마련해야 할 문제라는 지적도 제기됐다.

SKT 침해사고 민관합동조사단이 발표한 1차 조사 결과보다 감염 서버가 18대 더 발견됐다. 이로써 SKT에서 해킹 공격을 받은 서버가 총 23대로 늘었다. 1차 조사결과에선 악성 코드에 감염된 서버 5대 중 홈가입자서버(HSS) 3대에서 가입자 식별번호(IMSI), 인증키 등 유심 정보 4종을 포함한 25종의 정보 유출이 확인됐다. 이 중 15대는 포렌식 등 정밀 분석이 완료됐고. 나머지 8대는 분석이 진행 중이다.

감염이 확인된 서버 중 2대는 개인정보가 일정 기간 임시로 관리되는 서버로 조사됐다. 1차 조사 결과에서 가능성이 없다고 보였던 IMEI 등 개인정보 유출 가능성이 뒤집힌 셈이다. 조사단은 조사 초기 IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검해 감염되지 않음을 확인했다고 밝힌 바 있다.

2대의 서버는 통합고객인증 서버와 연동되는 기기들로 고객 인증을 목적으로 호출된 유출될 수 있는 단말기 고유식별번호(IMEI)와 개인정보를 저장하고 있었다. 개인정보는 이름, 생년월일, 전화번호, 이메일 등 휴대전화 가입 시 남기는 정보들로 추정된다. 다만, 조사단은 "이 서버에 저장됐던 정확한 개인정보의 종류는 개인정보보호위원회 조사 대상"이라고 언급했다. 조사단이 파악한 서버 저장 피일 규모는 IMEI 정보 총 29만1천831건으로 나타났다.

하지만, 최초 악성코드가 설치된 시점인 2022년 6월 15일부터 지난해 12월 2일까지, 즉 로그 기록이 남지 않은 기간의 유출 여부는 확인하지 못했다. 로그 기록이 없는 기간의 IMEI 및 개인정보 유출 여부는 향후 정밀 포렌식 작업을 거쳐야 파악될 것으로 보인다. 조사단은 해커가 로그 기록을 일부러 삭제한 정황은 확인되지 않았다고 밝혔다. SKT가 로그 기록을 4개월여라는 짧은 기간 보관한 것과 유출된 개인정보를 암호화하지 않은 등의 개인정보보호법 위반 여부는 개인정보보호위원회에서 판단하게 된다.

조사단은 개인정보가 들어 있는 문제의 서버 해킹을 확인한 시점인 지난 11일 SK텔레콤에 자료 유출 가능성을 자체 확인하고 비정상 인증 시스템(FDS) 고도화 등 이용자 피해를 막을 조치를 강구할 것을 요구했다. 아울러, 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라 보고 지난 13일 개보위에 개인정보 포함 서버의 해킹 사실을 통보하는 한편 서버 자료를 공유했다.

해커들은 1차 조사에서 밝혀진 BPF도어(BPFDoor)라는 중국계 해커 그룹이 주로 사용하는 수법에다 웹셸이라는 신종 수법을 쓴 것으로도 확인됐다. 기존에 공개한 악성코드 12종에 웹셸 등을 포함해 현재까지 발견된 악성코드는 모두 25종이다. 웹셸은 해킹에서 일반적으로 사용되는 악성코드 종류로 해커가 SKT 서버를 최초 침입하는 과정에서 사용되며 최초 공격 시점을 특정하는 열쇠가 됐다. 조사단에 따르면 SKT 측은 최초 공격 시점이 2022년 6월인 점을 지난 4월 해킹 피해 사실이 처음 드러난 뒤 인지했다.

조사단은 지난 14일까지 SK텔레콤의 리눅스 서버 3만대를 총 4차례 점검했다. 이후 다음 달 말까지 윈도 서버와 기타 장비 등으로 점검 대상을 확대할 방침이다. 국가정보원은 중앙행정기관, 지방자치단체, 공공기관을 대상으로 점검을 진행 중이며 현재까지 민간, 공공 분야에서 신고된 피해 사례는 나오지 않았다고 밝혔다.

류제명 과기부 네트워크정책실장은 "이번 해킹이 경제적 목적 등으로 특정 데이터베이스를 목표로 해 탈취하고 다크웹 등에서 거래를 시도하는 양상과 달라 해커의 서버 침입 목적 등을 면밀하게 들여다보고 있다"고 덧붙였다.

이동현(경제)기자 shineast@yeongnam.com


기자 이미지

이동현

기사 전체보기

영남일보(www.yeongnam.com), 무단전재 및 수집, 재배포금지

경제인기뉴스

영남일보TV



많이 본 뉴스

  • 최신
  • 주간
  • 월간

영남일보TV

더보기
[직설사설] 격랑의 대선, 어디쯤 와 있나··후보별 급소 전격 해부

[직설사설] 격랑의 대선, 어디쯤 와 있나··후보별 급소 전격 해부







    • 오늘의운세

    더보기 >

    호랑이띠 [오늘의 운세] 5월 21일 ( 음 4월 24일 )(오늘의 띠별 운세) (생년월일 운세)

    영남생생 News