최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관합동 조사결과 2차 발표 브리핑을 하고 있다. <연합뉴스>
SK텔레콤(이하 SKT) 해킹으로 가입자의 유심(USIM) 정보와 함께 개인정보를 관리하는 서버도 악성코드에 감염된 것으로 확인됐다. 특히 이 악성코드가 2022년 심어진 것으로 특정되면서 해킹 공격이 3년에 걸쳐 장기 이뤄진 것으로 드러나 국가차원의 대책이 요구되고 있다.
SKT 해킹 사건을 조사하는 민관합동조사단은 19일 정부서울청사에서 이 같은 내용의 2차 조사 결과를 발표했다.
2차 조사에서는 감염된 서버 18대를 추가 발견했다. 앞서 이뤄진 1차 조사 결과에서 악성 코드에 감염된 서버 5대 중 홈가입자서버(HSS) 3대에서 가입자 식별번호(IMSI), 인증키 등 유심 정보 4종을 포함한 25종의 정보 유출이 확인됐다. 1~2차 조사를 통해 확인된 해킹 공격 서버는 23대로 늘었다.
특히 감염이 확인된 서버 2대는 개인정보가 일정 기간 임시 관리되는 서버로 이름, 생년월일, 전화번호, e메일 등의 개인정보 유출 가능성이 가시화됐다. 2대 서버는 통합고객인증 서버와 연동돼 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 개인정보를 저장하고 있어, 탈취됐을 경우 휴대전화 복제와 이상 금융거래에 악용될 우려가 있다.
다만, 방화벽에 로그 기록이 남아있는 지난해 12월 3일부터 지난달 24일까지는 데이터 유출이 없었다고 조사단은 밝혔다.
1차 조사에서 유출이 파악된 유심 정보 규모는 가입자 식별번호(IMSI) 기준 2천695만7천749건에 해당한다. SKT 가입자와 SKT 회선을 쓰는 알뜰폰 가입자를 합하면 2천500만명으로 사물인터넷(IoT) 회선 등이 합쳐진 숫자로 추정된다.
해킹 수법은 1차 조사에서 밝혀진 BPF도어(BPFDoor)는 중국계 해커 그룹이 주로 사용하며, 웹셀이라는 신종 수법도 더해진 것으로 확인됐다. 기존에 공개한 악성코드 12종에 웹셀 등을 포함해 현재까지 발견된 악성코드는 모두 25종이다.
조사단은 지난 14일까지 SKT 리눅스 서버 3만대를 점검했고, 다음 달까지 윈도 서버와 기타 장비 등으로 점검 대상을 확대한다.
한편 SKT는 불법 유심 복제뿐 아니라 불법 단말기 복제로 인한 피해 발생 시에도 100% 책임진다고 발표했다. SKT는 이날 서버 해킹 사건 후속 조치로 비정상 인증 차단 시스템(FDS)을 가장 높은 단계로 격상해 운영하고 있다며 이같이 밝혔다.
윤정혜
영남일보(www.yeongnam.com), 무단전재 및 수집, 재배포금지
![[직설사설] 우동기 “이미 골든크로스 시작됐다” 단일화 없어도 승리 확신하는 이유](https://www.yeongnam.com/mnt/file_m/202505/news-m.v1.20250529.c59fdacb2e8145a89071d41b5d7c203b_P1.jpg)
