SKT 단말기 고유식별번호 유출 우려...2022년 6월 악성코드 설치

민관합동조사단, SKT 사이버 침해 2차 발표 개인정보 저장 서버 공격 정황 추가로 확인 SKT, "유심·단말기 복제 피해 100% 책임"

2025-05-19     이정우 기자
최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관합동 조사결과 2차 발표를 하고 있다. (사진=연합뉴스)

SK텔레콤 해킹 피해 사고를 조사 중인 민관합동조사단이 단말기 고유식별번호(IMEI)와 개인정보를 저장하는 서버가 공격받은 정황을 추가로 확인하면서 유출 피해 우려가 더욱 커지고 있다.

SKT 침해사고 민관합동조사단은 지난달 29일 1차 조사 결과를 발표한 데 이어 19일 현재까지 조사 결과를 2차로 발표했다.

조사단은 1차 조사 결과 악성코드 4종과 감염서버 5대를 확인했다고 발표했는데, 이날 악성코드 21종, 감염서버 18대가 추가로 확인됐다고 밝혔다.

추가로 감염이 확인된 서버에는 IMEI와 이름, 생년월일, 전화번호, 이메일 등 가입자가 가입할 때 통신사에 제공하는 개인정보가 포함된 것으로 확인됐다. 다만 현재까지 통화기록 데이터는 포함되지 않은 것으로 확인됐다.

서버에 저장된 29만1831건의 IMEI는 지난해 12월3일부터 올해 4월24일까지는 유출되지 않은 것으로 확인됐지만, 최초로 악성코드가 설치된 시점인 2022년 6월15일부터 2024년 12월2일까지는 로그기록이 남아있지 않아 유출 여부가 불확실하다고 조사단은 설명했다.

만약 로그기록이 남아있지 않은 시점에 IMEI까지 유출됐다면 '심스와핑' 등 피해 위험성이 더욱 커진다고 전문가들은 설명했다. 

심스와핑은 유심을 복제해 다른 스마트폰에 꽂아 불법적인 행위를 하는 사기 수법인데, 1차 조사까지만 해도 IMEI는 유출되지 않은 것으로 확인돼 심스와핑 가능성이 낮았다.

염흥열 순천향대 정보보호학과 교수는 "IMEI가 유출됐다면 심스와핑 공격 가능성이 커진 것"이라며 "유심보호서비스의 유효성에도 문제가 생길 수 있다"고 말했다.

최우혁 과기정통부 정보보호네트워크정책관은 이날 발표에서 "로그가 남아있는 부분에 대해 유출이 되지 않은 것은 분명하고 그 이전 부분에 대해서는 또 다른 추정 근거인 다크웹을 모니터링하고 있는데 확인된 바가 없다"고 말했다.

류제명 과기정통부 네트워크정책실장은 IMEI가 설사 유출됐다고 해도 스마트폰 복제는 물리적으로 불가능하다고 설명했다.

류 실장은 "제조사나 사업자 판단으로 볼 때 복제폰은 물리적으로 불가능하고, 만에 하나 만들어졌어도 네트워크에 접속하는 것이 완벽하게 차단되므로 과도하게 불안해하지 않았으면 한다"며 "SK텔레콤에 혹시 피해가 발생할 때를 대비해 보상책을 확실히 하라고 요구한 상태"라고 말했다.

지난 14일 인천국제공항 2터미널 로밍센터 앞에서 SKT 이용자들이 유심보호서비스에 가입하려 줄을 서고 있다. (사진=연합뉴스)

이를 100% 확신할 수는 없어 조사단은 조사를 계속하고 있다.

이동근 KISA 디지털위협대응본부장은 "로그가 없으면 현실적으로 판단이 굉장히 어렵다"면서 "시나리오를 바탕으로 다각적인 검토를 하고 있다"고 덧붙였다.

개인정보 유출로 인한 피해와 관련해서도 현재 서버에 있는 정보만으로는 금융 피해로까지 이어지기는 힘들다고 염 교수와 조사단은 설명했다.

악성코드는 그간 알려진 BPF도어 계열 외에 '웹셸'이 추가로 확인됐다. 다만 전문가들은 웹셸은 BPF도어 계열 수법에서 해커가 웹 서버로 들어가는 통로를 만들어주기 위해 병행하는 방법일 뿐 새로운 위험이 추가된다고 보기는 어렵다고 설명했다.

임종인 고려대학교 정보보호대학원 교수는 "웹셸은 쉽게 말하면 해커와 내부 서버에 통신 채널을 만드는 것"이라며 "BPFDoor의 특성일 뿐 별다른 것이 아니"라면서도 "이번 해킹은 국가 주요 인물과 주요 기반시설에 악성코드를 깔아놨다가 유사시 작동시켜 국가를 마비시키려는 시도"라며 "개인정보를 탈취한 지 한 달이 지났는데 다크웹 등에 탈취한 정보가 올라오지 않은 것을 보면 해킹의 목적이 개인정보 유출이 아니라는 뜻"이라고 우려했다.

류 실장도 "(이번 해킹이) 특정 데이터베이스를 타깃으로 해서 탈취하고 다크웹 같은 데서 거래를 시도하던 것과 양상이 달라서 과연 발견된 서버에 들어온 목적이 무엇일지 면밀하게 보고 있다"고 말했다.

SK텔레콤은 민관 합동 조사단 발표 뒤  불법 유심 복제뿐 아니라 불법 단말기 복제로 인한 피해 발생 시에도 100% 책임진다고 발표했다.

또 SK텔레콤은 이날 서버 해킹 사건 후속 조치로 비정상 인증 차단 시스템(FDS)을 가장 높은 단계로 격상해 운영하고 있다고 밝혔다. 이는 이날 단말기 고유식별번호(IMEI) 유출 가능성이 제기된 데 따른 후속 조치로 풀이된다.

FDS는 불법 복제된 유심 인증을 비롯한 다양한 비정상 인증 시도를 통신망에서 실시간 감지 및 차단하는 기술이다. SKT는 전날부터 FDS 시스템을 고도화해 불법 복제 휴대전화기 접근을 차단할 수 있는 설루션을 통신망에 추가 적용하고 있다.

류정환 SKT 네트워크 인프라센터장은 "이번 사고로 불법 유심 복제, 단말 복제 피해가 발생하면 SK텔레콤이 책임지겠다"면서 "자체 자료에 의해 판단한 결과 현재까지 추가 유출은 없으며 있다 해도 현존하는 기술로 막을 수 있으니 안심해도 된다"고 말했다.