과기부 “SKT 23대 서버 감염 확인…복제폰 위험 IMEI 유출은 없어"

[이데일리 임유경 기자] SK텔레콤 유심 정보 해킹 사고와 관련해 조사를 진행 중인 민관합동조사단이 악성코드가 최초로 SK텔레콤 서버에 설치된 시점은 2022년이며, 현재까지 23대의 서버에서 악성코드 25종이 발견됐다고 확인했다. 확인된 악성코드는 웹셸 1종을 제외하면 모두 BPF도어 계열인 것으로 조사됐다. 조사단은 복제폰 우려를 높이는 IMEI 유출은 현재까지 없었다고 확인했다. 다만, 추가로 확인된 감염 서버 중 2대가 개인정보를 저장한 것으로 조사돼, SK텔레콤에 자료 유출 가능성을 확인할 것을 요구했다.

과학기술정보통신부는 19일 이 같은 내용이 포함된 SK텔레콤 침해사고 민관합동조사단 2차 조사 결과를 발표했다. 2차 조사 결과 발표는 조사단은 현재까지 SK텔레콤 리눅스 서버 약 3만여대에 대해 4차례에 걸친 점검을 진행한 결과를 담았다.

4차례에 걸친 강도 높은 조사는 1차 점검에서 확인한 BPFDoor 계열 악성코드의 특성(은닉성, 내부까지 깊숙이 침투할 가능성 등)을 감안하여 다른 서버에 대한 공격이 있었을 가능성을 확인하기 위한 목적이었다. 특히, 4차 점검은 국내외 알려진 BPFDoor 악성코드 변종 202종을 모두 탐지할 수 있는 툴을 적용하였다.

앞서 조사단은 지난달 29일 1차 조사 결과 발표에서 공격 받은 정황이 있는 5대 서버 조사한 결과 BPFDoor 계열 악성코드는 4종을 발견했다. 유출된 정보는 USIM 정보(전화번호, IMSI 등) 등 25종으로, 유출된 유심정보의 규모는 9.82GB이며, 가입자 식별키(IMSI) 기준 2695만7749건임을 확인했다. 단말기 고유식별번호(IMEI) 유출은 없었다.

이번 2차 발표에 따르면 조사단은 현재 총 23대의 서버 감염을 확인했다. 악성코드는 25종(BPFDoor계열 24종 + 웹셸 1종)을 발견해 조치했다. 1차 발표 이후 공격을 받은 정황이 있는 서버는 추가로 18대가 식별된 것이다.

총 23대 중 현재까지 15대는 정밀 분석 포렌식, 로그분석 등 정밀분석을 완료했고 잔여 8대에 대한 분석을 진행함과 동시에 타 악성코드에 대해서도 탐지 및 제거를 위한 5차 점검을 진행 중이다. 8대에 대한 분석은 5월 말까지 완료할 예정이다.

분석이 완료된 15대 중 2대는 개인정보 등을 저장한 것으로 확인됐다. 해당 서버는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 있었다. 이에 조사단은 어제(18일)까지 해당 서버에서 자료 유출이 있었는지 2차에 걸쳐 추가적인 조사를 실시했다.

조사단은 개인정보 등이 저장된 문제의 서버들을 확인한 즉시사업자에게 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체 확인하고 이로 인한 국민 피해를 예방할 수 있는 조치를 강구하라고 요구했다. 또한, 개인정보의 경우 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라 보고 개인정보보호위원회에도 개인정보가 포함돼 있다는 사실을 통보(13일)하는 한편, 사업자 동의를 얻어 조사단에서 확보한 서버자료를 개인정보보호위원회에 공유(16일)했다.

침해사고 발생 후 복제폰으로 인한 피해 우려로 IMEI 유출 여부에 대해서 조사단은 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 총 29만1831건의 IMEI 등이 포함돼 있었지만, 방화벽 로그기록이 남아있는 기간(2024.12.3.∼2025.4.24.)에는 자료유출이 없었다고 확인했다. 다만, 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(2022.6.15.∼2024.12.2.)의 자료 유출 여부가 현재까지는 확인되지 않았다.

과기정통부는 “조사단이 앞으로도 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우 이를 투명하게 공개하고 사업자로 하여금 신속히 대응토록 하는 한편 정부 차원의 대응책도 강구해 나갈 계획”이라고 밝혔다.