SK텔레콤 해킹 사태와 관련한 민관합동조사단 조사 결과 악성코드 21종이 추가 발견됐다. 감염서버는 18대가 추가돼 총 23대로 늘었다. 이중 2대 서버에서 단말고유식별번호(IMEI)와 개인정보가 유출됐을 가능성도 있는 것으로 나타났다.
과학기술정보통신부는 19일 정부서울청사에서 브리핑을 열고 이같은 내용의 민관합동조사단 2차 조사 결과를 발표했다.
조사단은 SKT의 리눅스 서버 3만여대에 대한 4차례 점검 결과 기존에 발표한 12종 외에 백도어 계열 12종과 웹셸 1종을 추가 확인했다. 웹셸은 웹서비스를 제공하는 웹서버에 숨어들어 시스템에 명령을 내리는 악성코드다.
유출된 유심정보 규모는 9.82GB로 가입자식별키(IMSI) 기준 2695만7749건으로 확인됐다. 사실상 SK텔레콤 가입자 전원이 해당되는 셈이다.
공격을 받은 정황이 있는 서버는 1차 발표 5대에서 추가로 18대가 식별돼 총 23대로 늘었다. 이중 15대는 포렌식 등 정밀 분석을 완료했으며 나머지 8대는 이달 말까지 완료 예정이다.
조사단은 분석이 완료된 15대 중에 개인정보 등을 임시 저장하는 2대가 포함된 것을 확인했다. 해당 서버는 통합고객인증 서버와 연동되는 서버로 고객 인증 목적으로 호출된 IMEI와 이름·생년월일·전화번호·이메일 등 다수의 개인정보가 있었다.
해당 서버에 저장된 파일에는 총 29만1831건의 IMEI가 포함됐다. 정밀 조사 결과 방화벽 로그기록이 남아있던 지난해 12월 3일부터 올해 4월 24일까지는 자료유출이 없었지만, 최초 악성코드가 설치된 2022년 6월 15일부터 로그기록이 남아 있지 않은 지난해 12월 2일까지의 자료 유출 여부는 아직 확인되지 않았다.
악성코드가 2년 넘게 침투해 있던 것으로 나타난 만큼 자료가 유출됐을 경우 피해 규모가 상당할 것으로 우려된다. 당초 안전한 것으로 알려졌던 IMEI와 개인정보마저 유출됐을 가능성이 생긴 만큼 복제폰 범죄 우려도 제기된다.
조사단은 SK텔레콤 측에게 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체 확인하고 이로 인한 국민 피해를 예방할 수 있는 조치를 강구하라고 요구했다.
또한 개인정보의 경우 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라고 보고 개보위에 개인정보가 포함됐다는 사실을 통보하는 한편 조사단에서 확보한 서버자료도 공유했다.
과기정통부 측은 “앞으로도 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우 이를 투명하게 공개하고 사업자로 하여금 신속히 대응토록 하는 한편 정부 차원의 대응책도 강구해 나갈 계획”이라고 밝혔다.
박준호 기자 junho@etnews.com
