SKT 해킹, 유심 넘어 개인정보 서버까지 뚫렸다

최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관합동 조사결과 2차 발표 브리핑을 하고 있다. [사진=연합뉴스]

[필드뉴스 = 태기원 기자] SK텔레콤 해킹 사건이 단순 유심(USIM) 정보 유출을 넘어 개인정보가 저장된 서버까지 공격받은 것으로 드러났다.

해킹의 시작 시점은 2022년 6월 15일로 특정됐으며, 해커가 남긴 기록(로그)이 남지 않은 기간에는 단말기 고유식별번호(IMEI) 등 핵심 정보가 외부로 유출됐을 가능성도 배제할 수 없게 됐다.

SK텔레콤 해킹 사건을 조사 중인 민관 합동 조사단은 19일 정부서울청사에서 2차 조사 결과를 발표했다.

조사에 따르면, 기존 1차 조사에서 감염 사실이 밝혀진 서버 5대 외에도 추가로 18대의 서버가 해킹에 노출된 사실이 새롭게 드러났다. 이로써 해킹 피해 서버는 총 23대에 달하며, 이 중 15대는 분석이 완료됐고 나머지 8대에 대해서는 분석이 진행 중이다.

특히, 이번에 새롭게 감염 사실이 확인된 2대의 서버는 일정 기간 동안 개인정보를 임시 저장하는 기능을 수행하는 것으로 나타났다.

이는 1차 조사 당시 개인정보 유출 가능성이 낮다고 판단했던 분석과 상반된 결과다.

빠져나갔을 수 있는 개인정보는 이름, 생년월일, 전화번호, 이메일 등 휴대전화 가입 시 남기는 정보들로 추정된다.

이 두 서버는 통합고객인증 시스템과 연동돼 IMEI와 같은 단말기 고유식별번호도 저장하고 있었다. IMEI는 휴대전화 복제나 금융 사기 등 각종 불법행위에 악용될 수 있는 핵심 정보다.

조사단은 조사 초기 IMEI 정보가 저장된 38대 서버에는 악성코드 감염이 없다고 밝힌 바 있다. 이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 과정에서 연동 서버의 임시 저장 파일에 무려 29만 2831건의 IMEI 정보가 포함된 사실을 확인했다.

조사단은 두차례의 정밀 조사 결과, 방화벽에 로그 기록이 남아있는 지난해 12월 3일부터 지난달 24일까지는 데이터 유출이 없었다고 밝혔다.

그러나 최초 악성코드가 심어진 2022년 6월 15일부터 지난해 12월 2일까지의 기간에는 로그 기록이 존재하지 않아, 이 시기의 데이터 유출 여부는 여전히 확인되지 않고 있다.

이처럼 해킹 피해가 3년에 걸쳐 발생하고, 유출 대상이 수천만 명에 이를 수 있다는 점에서 이번 해킹 사건은 개별 기업 차원을 넘어 국가 안보와 통신망 보안 전반에 대한 경각심을 높이고 있다.

실제 1차 조사에서는 유심 정보 9.82GB, 2695만7749건이 유출된 것으로 확인됐다. 이는 SK텔레콤과 SKT 회선을 쓰는 알뜰폰 가입자 총수 약 2500만명과 비슷한 규모다.

악성코드의 정체는 중국계 해커 그룹이 사용하는 것으로 알려진 BPF도어(BPFDoor) 외에, 기존에 알려지지 않았던 웹셀 방식도 포함돼 있는 것으로 나타났다. 기존에 공개한 악성코드 12종에 웹셀 등을 포함해 현재까지 발견된 악성코드는 모두 25종이다.

합동 조사단은 지난 14일까지 리눅스 기반 서버 3만대를 네 차례에 걸쳐 점검했으며, 앞으로는 윈도 서버와 기타 장비로 점검 대상을 확대할 계획이다.

지난 12일부터는 '통신사 및 플랫폼사 보안점검 태스크포스'를 구성해 주요 기업들을 대상으로 매일 또는 주 단위로 보안 상태를 점검하고 있다.

국가정보원도 중앙부처와 지방자치단체, 공공기관을 대상으로 유사 침해 여부를 조사하고 있으나, 현재까지 추가 피해 사례는 확인되지 않았다.

조사단은 개인정보가 들어 있는 문제의 서버 해킹을 확인한 시점인 지난 11일 SK텔레콤에 자료 유출 가능성을 자체 확인하고 이용자 피해를 막을 조치를 강구할 것을 요구했다.

아울러, 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라 보고 지난 13일 개보위에 개인정보 포함 서버의 해킹 사실을 통보하는 한편 서버 자료를 공유했다.

<저작권자 Copyright ⓒ 필드뉴스 무단전재 및 재배포 금지>