연합뉴스SK텔레콤 해킹 사태가 유심(USIM)정보에 이어 설상가상으로 가입자 개인정보와 단말기 고유식별번호(IMEI) 유출 가능성으로까지 확대되고 있다.
민관합동조사단의 추가 조사 결과 이러한 정보를 임시 저장하는 서버에서 악성코드가 추가로 발견된 것이다. 특히, 악성코드 침투 시점이 2022년 6월로까지 거슬러 올라간 것으로 확인됐고, 상당 기간은 로그기록이 사라져 IMEI 유출 여부를 확인하기 어려울 가능성도 크다.
이에 SKT의 대응책 중 하나였던 '유심보호서비스'의 신뢰가 흔들리고, 해킹의 '더 큰 목적'인 사이버안보 위협 가능성에 관한 우려 또한 커지고 있다.
악성코드 감염 서버 23대 중엔 IMEI, 개인정보 임시 저장 서버도
SKT 해킹 사건을 조사 중인 과학기술정보통신부 등 민관합동조사단은 19일 정부서울청사에서 2차 조사 결과를 발표했다.
조사단에 따르면, 현재까지 확인된 감염은 서버는 총 23대, 발견·조치된 악성코드는 25종(BPF 도어 계열 24종, 웹셸 1종)이다.
조사단은 이러한 감염 서버 중 15대에 대한 포렌식 등 정밀 분석을 완료한 결과, 개인정보와 IMEI 등을 저장하는 2대가 해킹 공격을 받았다는 사실을 추가로 확인했다. 이는 통합고객인증 서버와 '연동'되는 서버들로, 고객 인증을 목적으로 호출된 IMEI를 비롯해 이름, 생년월일, 전화번호, 이메일 등 다수의 개인정보가 있었다.
방화벽 로그기록이 남아있는 기간(2024년 12월 3일부터 2025년 4월 24일)에는 자료 유출이 없었는데, 문제는 로그기록이 남아있지 않은 2년 6개월의 기간(2022년 6월 15일부터 2024년 12월 2일)이다.
최초 악성코드가 설치된 시점부터 비어 있는 이 기간 자료 유출 여부는 현재까지 확인되지 않은 것이다.
이동근 KISA 디지털위협대응본부장은 "개인정보를 저장, 처리하는 법적인 시스템이 있지만, 이러한 '임시 저장' 서버는 그런 목적으로 쓰인 게 아니라, 데이터베이스에서 요청을 받아 처리하는 것이다 보니 그런 룰(로그기록 보관)이 적용되지 않았다"며 "한 4~5개월에 걸쳐 보관하고 있었기 때문에 최초 시점과 연결 짓는 로그가 부재하다"고 설명했다.
이 본부장은 "기술적으로는 로그가 없으면 현실적으로 (유출 여부를) 판단하기가 굉장히 어려운 점이 있다"며 "현재 조사단뿐만 아니라 수사기관 등 협력 기관들이 조사하고 있는 과정에서 다각도로 검토 중"이라고 말했다.
2년 반이 넘도록 서버의 악성코드 감염 사실을 파악하지 못했던 SKT에 대한 책임론도 확산하고 있다.
다만 SKT 류정환 네트워크 인프라센터장은 이날 오후 브리핑에서 "조사단이 발표한 건 IMEI 유출 건이 아니고, 유출됐다 해도 FDS(비정상 인증 차단 시스템)가 스마트폰 복제를 차단하고 있다"며 "2022년 6월 이후 고객 불만 데이터 39만 건을 전수 조사한 결과 피해가 발견되지 않았다"고 했다. 데이터 패턴, 경찰청 사고 접수 건상으로도 불법 유심 복제로 인한 피해는 발견되지 않았다고 류 센터장은 부연했다.
"복제폰은 불가능"이라지만…개인정보, 사이버안보 위기감은 고조
현재로서는 "복제폰은 불가능하다"는 게 조사단과 사측의 공통된 의견이다.
과기부 류제명 네트워크정책실장은 "복제폰이 가능한지 여부에 대해서 저희가 100% 지금 말씀드리긴 어렵지만, 제조사와 사업자의 판단은 복제폰은 일단 물리적으로 불가능하고, 만들어졌다 해도 네트워크에 접속하는 것 자체가 완벽하게 차단된다는 것"이라고 설명했다.
SKT 류정환 센터장 역시 "이번 사고로 불법 유심 복제, 단말 복제 피해가 발생하면 SKT가 책임지겠다"며 "자체 자료에 의해 판단한 결과 현재까지 추가 유출은 없으며, 있다 해도 현재 기술로 막을 수 있으니 안심해도 된다"고 말했다.
하지만, 이번에 해킹 규모가 더 커진 데 따라 소강국면을 맞나 싶던 개인정보 유출 우려는 더욱 커지고 있다. 나아가 이를 국가적인 사이버안보 측면에서 위협으로 해석해야 한다는 시각도 힘을 얻고 있다.
순천향대 정보보호학과 염흥열 교수는 "IMSI와 더불어 IMEI까지 유출 가능성이 생겼으니 현재 유심보호서비스론 불충분하다. 고도화된 FDS, 모니터링 등이 받쳐주면 기술적으론 정보 탈취를 막을 수 있어 보인다"며 "복제폰이 통신망에 붙지 않도록 유의해야 한다. 그럴 확률이 아예 없다고 할 순 없다"고 밝혔다.
염 교수는 다만 "국민 우려는 금융정보 탈취 가능성인데, 그러려면 특정 가입자를 향한 스미싱 공격이 가능할 정도는 돼야 한다. 해킹이 단순 금전적 목적에 그치는 것으로 보이진 않는다"며 "실제 목적은 주체를 확인한 뒤 제대로 파악할 수 있겠지만, 사이버안보 위협 가능성을 포함해 모든 가능성을 열어두고 대비책을 마련해야 한다"라고 말했다.
고려대 정보보호대학원 임종인 석좌교수는 "해킹 사태를 파악한 지 한 달이 됐는데, 단순 금전적 목적이라면 관련 정보가 바로 다크웹에 올라왔을 것"이라며 선을 그으며 "실제 중국 해커 조직이 지난해 12월 미국 AT&T, 버라이즌 등 통신사를 공격했다. 미국의 동맹국인 우리나라를 상대로도 정치적, 군사적 목적으로 이러한 일을 벌였을 가능성이 높다"고 말했다.
그러면서 "미국과 공조해 명확한 피해 정도, 침투 경로를 파악하고 재발 방지책을 세우는 게 중요하다"며 "미·중 간 사이버 냉전 시대에 우리나라도 안심지대가 아닌 것"이라고 강조했다.