연합뉴스SK텔레콤 침해사고 민관합동조사단은 19일 SKT 해킹 사고 조사 과정에서 개인정보와 단말기 고유 식별번호(IMEI)가 일정 기간 임시로 관리되는 서버에 악성코드가 감염된 사실을 추가로 확인했다고 밝혔다.
다만, 이러한 정보가 유출됐는지 여부는 아직 확인되지 않은 것으로 나타났다.
과학기술정보통신부는 이날 이러한 내용의 SKT 침해사고 조사 중간 결과를 2차 발표했다.
조사단은 다음 달까지 SKT 서버 시스템 전체를 강도 높게 점검한다는 목표하에 △초기 발견된 BPF도어 감염 여부 확인을 위한 리눅스 서버 집중 점검(1단계) △BPF도어, 타 악성코드 감염 여부 확인을 위해 리눅스 포함 모든 서버로 점검 대상을 확대(2단계)하는 방식으로 조사를 진행하고 있다. 현재까지 4차례 점검이 실시된 1단계 결과를 정리해 이번 2차 발표한 것이다.
조사단에 따르면, 현재까지 확인된 서버 감염은 총 23대, 발견·조치된 악성코드는 25종(BPF 도어 계열 24종, 웹셸 1종)이다.
지난달 29일 1차 발표 당시 감염 서버가 5대, 악성코드가 4종(BPF 도어 계열)이었던 것에서 대폭 늘어난 것이다.
조사단은 이 중 감염된 서버 15대에 대해선 정밀 분석(포렌식, 로그 분석)을 완료했고, 나머지 8대에 대한 분석을 진행(이달 말까지 완료)하면서 타 악성코드에 대해서도 탐지, 제거를 위한 5차 점검을 진행하고 있다.
분석이 완료된 15대 중 2대는 개인정보와 IMEI 등을 저장하는 서버로 밝혀졌다.
해당 서버는 통합고객인증 서버와 연동되는 서버들로,
고객 인증을 목적으로 호출된 IMEI를 비롯해 이름, 생년월일, 전화번호, 이메일 등 다수의 개인정보가 있었다.
문제의 서버의 저장된 파일엔 29만 1831건의 IMEI가 포함된 사실이 확인됐다.
앞서 1차 조사 결과 발표 당시 조사단은 IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검해 감염되지 않았단 사실을 확인했지만, 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 '연동 서버'에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있다는 사실을 확인했단 것이다.
조사단이 2차에 걸쳐서 정밀 조사한 결과, 방화벽 로그기록이 남아있는 기간(2024년 12월 3일부터 2025년 4월 24일)에는 자료 유출이 없었다.
하지만,
최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(2022년 6월 15일부터 2024년 12월 2일)의 자료 유출 여부는 현재까지 확인되지 않았다. 조사단은 지난 11일 개인정보 등이 저장된 문제의 서버들을 확인한 즉시 사업자에게 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체 확인하고 이로 인한 국민 피해를 예방할 수 있는 조치를 강구하라고 요구했다고 밝혔다.
또, 개인정보보호위원회에도 이러한 사실을 통보하는 한편, 사업자 동의를 얻어 조사단에서 확보한 서버자료를 지난 16일 개인정보보호위원회에도 공유했다.
조사단은 현재까지 SKT의 리눅스 서버 약 3만여 대를 4차례에 걸쳐 점검했다. 이는 BPF도어 계열 악성코드의 은닉성, 침투성 등을 감안해 다른 서버에 대한 공격 가능성을 확인하기 위한 것으로, 특히, 4차 점검은 국내외 알려진 BPF도어 악성코드 변종 202종을 모두 탐지할 수 있는 툴이 적용됐다.
한편, 1차 조사 결과 당시 발표한 유출된 유심 정보의 규모는 9.82GB로 특정됐고, 가입자 식별키(IMSI) 기준 2695만 7749건임이 확인됐다.