ㅣ데일리포스트=곽민구 기자ㅣSK텔레콤 해킹 사고의 최초 침입 시점이 2022년 6월 15일로 특정됐다.
정부와 민간이 참여한 합동조사단은 19일 서울 정부서울청사에서 2차 중간조사 결과 발표를 통해 “해커가 심은 악성코드가 3년 가까이 잠복해 있었던 정황을 확인했다”고 밝혔다.
조사 결과, 해킹으로 가입자 유심(USIM) 정보뿐 아니라 단말기 고유식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 다수의 개인정보가 저장된 서버도 공격을 받은 것으로 드러났다.
특히 유심 정보(IMSI) 기준 2695만 7749건이 유출된 것으로 파악됐다. 이는 SK텔레콤 전체 가입자와 알뜰폰 이용자를 합친 수를 넘어서는 규모다. SK텔레콤 측은 “스마트워치, IoT 등 다양한 단말기에 탑재된 유심까지 포함된 수치”라고 해명했다.
악성코드에 감염된 서버는 23대로, 1차 조사 때보다 18대가 추가 확인됐다. 해킹에 사용된 악성코드 종류도 25종으로 늘어났다.
특히 감염된 서버 중 2대에서는 IMEI와 개인정보 등이 임시 저장되고 있었던 것으로 조사됐다. 해당 서버에는 29만 1831건의 IMEI 자료가 저장돼 있었으며, 지난해 12월 3일부터 올해 4월 24일까지는 자료 유출이 없었지만, 악성코드가 최초로 설치된 2022년 6월 15일부터 2024년 12월 2일까지는 로그 기록이 없어 자료 유출 여부를 확인할 수 없는 상태다.
조사단은 개인정보보호법상 2년간 로그를 보관해야 하지만, SK텔레콤이 해당 서버를 로그 저장 대상에서 제외해왔던 점도 지적했다. 또 해당 서버에 저장된 데이터는 암호화되지 않은 것으로 드러났다.
이번 사고는 개별 기업 차원을 넘어 국가 안보 차원에서 대책 마련이 필요하다는 지적이 나오고 있다. 정부는 SK텔레콤뿐 아니라 타 통신사와 주요 플랫폼, 공공기관까지 사이버 위협 점검을 확대해 사이버 위기 경보 단계를 상향 조정한다는 입장이다
이에 따라 SK텔레콤의 정보보호 노력이 충실했는지에 대한 논란이 불가피해 보인다. 일반적으로 문을 여는 용도로 해킹에 사용하는 악성코드를 약 3년 동안 몰랐기 때문이다. 웹셀을 걸러냈다면 BPF도어 침투를 막을 수 있었다. 이 문을 통해 다른 악성코드가 어디까지 들어왔는지도 문제다.
조사단은 BPF도어 감염 여부 확인을 위한 리눅스 서버 점검에서 BPF도어 및 타 악성코드 감염 여부 확인을 위한 모든 서버로 점검 대상을 확대했다.
IMEI 유출 가능성이 생기면서 '복제폰' 우려도 다시 커지고 있다. 류제명 과기정통부 네트워크정책실장은 "제조사 확인 결과 IMEI가 노출되더라도 제조사가 보유한 식별키 값이 있어야 복제폰을 만들 수 있다"며 "만에 하나 복제폰 제조에 성공해도 통신사의 비정상인증시도차단시스템(FDS) 등으로 방어가 가능하다"고 설명했다.
이어 "1차 발표 때는 복제폰 우려가 커지고 있어 IMEI 서버 전체를 분석해 긴급하게 한 것이고 이후 4차례 조사를 하면서 이런 서버가 있다는 것을 추가 발견한 것"이라며 "절대 은폐나 축소는 없으며 전례 없이 강력하게 조사 중"이라고 강조했다.
개인정보 유출 범위는 개인정보보호위원회가, 공격 주체나 이유 등은 경찰 등 수사기관이 조사 중이다.
류제명 실장은 "공격 주체나 침투 목적 등은 경찰 등 수사기관 소관"이라며 "개인정보는 개인정보위가 조사하고 있어 조사단이 알게된 정보만을 공유하고 있다"고 설명했다.
한편 이번 사고가 SK텔레콤 약관에 있는 사업자 귀책 사유 해당 여부에 해당하는지에 대한 판단은 아직 결정되지 않았다.
류 실장은 "위약금 면제 관련 약관 해석 등은 법률적 검토를 했고 조사단 작업 결과를 종합해 판단할 예정이라는 입장은 변함이 없다"며 "신규 영업 정지는 유심 교체를 우선으로 하기 위해 내린 것으로 기존 가입자 유심 교체 충족 여부가 해제를 결정하는 근거다. 다른 요소는 고려하고 있지 않다"고 전했다.