민관합동 조사결과 2차 발표
[시사저널e=김용수 기자] 지난달 발생한 SK텔레콤 해킹 사건의 피해 규모가 점차 구체화되고 있다. 단말기 고유식별번호(IMEI)를 포함한 개인정보가 유출됐을 가능성이 새롭게 제기된 가운데 이번 공격이 최소 3년 전부터 시작됐고 현재까지 유출이 확인된 유심(USIM·가입자식별장치) 정보가 2700만건에 달하는 것으로 나타났다. 악성코드에 감염된 서버도 총 23대로 늘었다.
19일 과학기술정보통신부(과기정통부)와 한국인터넷진흥원(KISA) 등으로 구성된 민관합동조사단은 서울 종로구 정부서울청사에서 이같은 내용의 중간 조사 결과를 발표했다. 지난달 29일 1차 조사 이후 추가로 확인된 침해 정황과 악성코드 확산 범위를 공개한 것이다.
조사단에 따르면 악성코드 감염이 확인된 서버는 총 23대로 1차 조사 당시보다 18대 늘었다. 이 가운데 15대의 정밀 분석을 마친 결과 BPFDoor 계열의 24종과 웹셀 1종 등 총 25종의 악성코드가 식별됐다. 유심 정보 유출 규모는 9.82기가바이트(GB), 가입자 식별키(IMSI) 기준 2695만7749건으로 확인했다.
조사단은 감염이 확인된 23대 서버 중 15대에 대한 포렌식 등 정밀 분석을 마쳤으며, 잔여 8대에 대한 분석을 진행하고 있다고 밝혔다.
이번 조사에서 IMEI를 포함한 이름, 생년월일, 전화번호, 이메일 등 개인정보가 추가로 유출됐을 가능성이 제기됐다. 앞서 1차 조사에서 “공격받은 정황이 있는 서버 5대를 조사한 결과 전화번호·IMSI 등 유심 정보 25종이 유출됐고, IMEI 유출은 없었기 때문에 복제폰 우려는 없다”고 밝혔지만 이번 조사에서 상황이 달라졌다.
과기정통부 관계자는 “1차 조사는 IMEI가 저장된 서버 38대를 특정해 긴급 점검했고,이 서버들은 감염되지 않았기 때문에 단정적으로 '유출이 없다'고 말할 수 있었던 것”이라며 “하지만 이번에 3만여대 전수조사를 진행하는 과정에서 서비스 중 임시 저장된 IMEI가 포함된 서버들이 추가로 확인됐다”고 설명했다.
문제의 서버는 통합고객인증 시스템과 연동됐으며 고객 인증을 위해 수집된 IMEI와 함께 이름, 생년월일, 전화번호, 이메일 등 개인정보도 저장됐다. 해당 서버에 저장된 IMEI 정보 총 29만1831건으로 파악됐다.
현재 로그 기록이 남아있는 작년 12월 3일부터 지난달 24일까지 유출이 없었던 것으로 확인됐지만 악성코드가 최초로 설치된 2022년 6월 15일부터 작년 12월 2일까지의 기간은 로그가 없어 실제 유출 여부를 확인하기 어렵단 것이 조사단의 설명이다.
IMEI가 유출됐을 경우 당초 정부와 SK텔레콤의 설명과는 달리 ‘유심보호서비스’ 가입만으로는 복제폰 가능성을 막기 어려울 수 있다. 유심보호서비스는 유심과 단말기를 묶어 유심 정보만으로는 새 단말기를 개통할 수 없도록 하는 서비스지만 IMSI와 IMEI가 모두 유출됐을 경우 이를 활용해 기존 가입자를 도용할 수 있기 때문이다.
과기정통부 관계자는 “다양한 방식으로도 제조사와 확인하는 과정을 거치고 있다. 15자리의 숫자 조합인 IMEI만 가지고는 복제폰 발생이 불가능하단 게 제조사들의 해석”이라며 “SK텔레콤이 최근 추가로 도입한 이상거래탐지시스템(FDS)을 이용하면 설령 IMEI가 유출됐다고 하더라도 복제 폰 우려는 원천 차단할 수 있다”고 밝혔다.
과기정통부는 SK텔레콤에 자료 유출 가능성을 확인하고 피해를 예방할 수 있는 조치를 강구하도록 요구했다. 또 개인정보보호위원회에도 개인정보가 유출됐을 수 있단 사실을 지난 13일 통보했다. 조사단은 다음달까지 SK텔레콤 전 서버에 대한 조사를 마무리하고 최종 피해 규모와 유출 경로를 규명할 계획이다.