최태원 SK그룹 회장이 7일 오전 서울 중구 SK텔레콤 T타워 SUPEX홀에서 SK텔레콤의 해킹 사고와 관련해 대국민 사과를 하고 있다. 류영주 기자SK텔레콤 해킹으로 가입자들의 유심(USIM) 정보가 유출됐을 뿐만 아니라, 개인정보와 단말기 고유 식별번호(IMEI)가 관리되는 서버도 악성코드에 감염된 것으로 파악됐다.
해커가 악성코드를 심은 시점은 2022년 6월 15일로 특정됐는데, 이때부터 지난해 12월 2일까지, 즉 로그 기록이 남지 않은 기간 정보 유출 여부는 확인하지 못했다.
다만, 이후 12월 3일부터 지난 달 24일까지 기간에는 데이터 유출이 없었다고 당국은 밝혔다.
SK텔레콤 해킹 사건을 조사 중인 민관합동조사단은 19일 정부서울청사에서 이같은 내용의 SKT 침해사고 조사 2차 조사 결과를 발표했다.
최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관합동 조사결과 2차 발표 브리핑을 하고 있다. 연합뉴스조사단에 따르면, 현재까지 확인된 서버 감염은 총 23대, 발견·조치된 악성코드는 25종(BPF 도어 계열 24종, 웹셸 1종)이다.
지난달 29일 1차 발표 당시 감염 서버가 5대, 악성코드가 4종(BPF 도어 계열)이었던 것에서 대폭 늘어난 것이다.
조사단은 이 중 감염된 서버 15대에 대해선 정밀 분석(포렌식, 로그 분석)을 완료했고, 나머지 8대에 대한 분석을 진행(이달 말까지 완료)하면서 타 악성코드에 대해서도 탐지, 제거를 위한 5차 점검을 진행하고 있다.
분석이 완료된 15대 중 2대는 개인정보와 IMEI 등을 저장하는 서버로 밝혀졌다.
해당 서버는 통합고객인증 서버와 연동되는 서버들로, 고객 인증을 목적으로 호출된 IMEI를 비롯해 이름, 생년월일, 전화번호, 이메일 등 다수의 개인정보가 있었다. 해당 서버는 통합고객인증 서버와 연동되는 서버들로, 고객 인증을 목적으로 호출된 IMEI를 비롯해 이름, 생년월일, 전화번호, 이메일 등 다수의 개인정보가 있었다.
정밀 조사에 따르면, 방화벽 로그기록이 남아있는 기간(2024년 12월 3일부터 2025년 4월 24일)에는 자료 유출이 없었다.
하지만, 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(2022년 6월 15일부터 2024년 12월 2일)의 자료 유출 여부는 현재까지 확인되지 않았다.
SK텔레콤 유영상 사장이 지난 8일 오후 국회 과학기술정보방송통신위원회 전체회의실에서 열린 'SK텔레콤 해킹 관련 청문회'에 출석해 질의에 답하고 있다. 황진환 기자이동근 KISA 디지털위협대응본부장은 "개인정보보호법에 따라 개인정보를 저장, 처리하는 법적으로 정해진 시스템이 있지만, '임시 저장'돼 있다고 말씀드린 그 서버는 실질적으로는 그런 목적으로 쓰인 게 아니라 데이터베이스에서 요청을 받아 처리하는 것이다 보니, 그런 룰이 적용이 안 돼 있었다"며 "한 4~5개월에 걸쳐 보관하고 있었기 때문에 최초 시점하고 연결 짓는 로그가 부재한 것"이라고 설명했다.
이에 따라 실제 유출 여부는 당장 확인이 어렵다는 설명이다.
이 본부장은 "기술적으로는 로그가 없으면 현실적으로 판단하기가 굉장히 어려운 점이 있다"며 "현재 조사단뿐만 아니라 수사기관 등 협력 기관들이 조사하고 있는 과정에 SKT 내부가 아닌 바깥쪽에서 정보가 나올 수 있는 부분까지 고려해서 다각도로 검토 중"이라고 말했다.
류제명 과학기술정보통신부 네트워크정책실장은 "BPF도어의 공격 양태가 장기간에 걸쳐서 은닉하고, 활동이 일반적인 것들과 차이가 있다"며 "저희가 지금 확인한 상황에서는 (유출) 가능성에 대한 이야기를 하는 건 좀 어렵다는 판단이다"고 밝혔다.
최태원 SK그룹 회장이 지난 7일 오전 서울 중구 SK텔레콤 T타워 SUPEX홀에서 SK텔레콤의 해킹 사고와 관련해 대국민 사과 후 이동하고 있다. 류영주 기자조사단은 다만 그러면서도 이른바 '쌍둥이폰' 등 불법 휴대전화 복제 가능성에 관해선 선을 그었다.
류 실장은 "IMEI 값은 열다섯 자리의 숫자 조합인데, 그 숫자 조합만 갖고는 복제품, 쌍둥이폰은 원천적으로 불가능하다는 것이 제조사들의 해석"이라며 "복제폰이 가능한지 여부에 대해서 저희가 100% 지금 말씀드리긴 어렵지만, 제조사와 사업자의 판단은 복제폰은 일단 물리적으로 불가능하고, 만들어졌다 해도 네트워크에 접속하는 것 자체가 완벽하게 차단된다는 것"이라고 설명했다.
그러면서 "이른바 FDS 시스템에서 기술적 고도화(가 있었다)"며 "설사 복제품, 쌍둥이폰이 만들어진다고 하더라도 무용지물, 무력화되는 시스템이어서 기술적으로 그런 우려는 없다고 판단하고 있다"고 말했다.
최우혁 과기정통부 정보보호네트워크정책관은 SKT 측의 보안 조치 부실 여부에 대해선 "이 부분은 조사단이 심도 있게 전체적인 체계, 서버에 대한 분석 등을 진행하고 난 뒤 재발 방지 대책을 수립할 때 발표될 것 같다"고 덧붙였다.