해킹된 SKT 서버에 임시저장 IMEI 29만건..."유출 여부는 불투명"

"IMEI 담긴 파일 발견됐지만, 일부 기간 흔적 안 남아 추적 어려워"

[사진=과학기술정보통신부]

SK텔레콤(SKT) 해킹 사고와 관련해 민관합동조사단이 감염된 서버에 단말기 고유식별번호(IMEI) 29만건이 포함된 파일이 임시 저장돼 있었던 사실을 확인했다. 해당 기간 중 일부는 로그기록이 없어 자료 유출 여부가 확인되지 않은 것으로 나타났다. 

과학기술정보통신부는 19일 ‘SKT 침해사고’에 대한 2차 조사결과를 발표했다.

발표에 따르면 악성코드에 감염된 서버 중 고객 인증 시스템과 연동되는 서버 2대에서 IMEI, 이름, 생년월일, 전화번호, 이메일 등 개인정보가 포함된 파일이 임시 저장돼 있었다고 밝혔다. 해당 파일에는 총 29만1831건의 IMEI 정보가 담겨 있었다.

조사단은 저장된 파일 중 2024년 12월 3일부터 2025년 4월 24일 사이의 방화벽 로그 기록상 자료 유출 흔적은 발견되지 않았다고 설명했다. 그러나 악성코드 최초 설치 시점부터 이 기간 전인 2022년 6월 15일부터 2024년 12월 2일 사이의 유출 여부는 확인되지 않았다.

앞서 조사단은 1차 발표(4월 29일) 당시 IMEI는 유출되지 않았다고 밝혔으나, 2차 정밀포렌식 과정에서 감염된 일부 서버에 IMEI 정보가 포함된 파일이 일정 기간 임시 저장돼 있었던 사실이 추가로 확인됐다. 다만, 해당 파일의 자료 유출 여부는 확인되지 않았다. 

해당 서버들은 통합고객인증 서버와 연동돼, 인증 과정 중 IMEI가 저장된 것으로 추정된다.

과기정통부는 악성코드가 감염된 서버를 발견한 즉시 사업자 측에 유출 가능성에 대한 선제 대응을 주문했으며, 개인정보보호위원회에도 관련 사실을 통보(5월 13일)하고 자료를 공유(5월 16일)했다고 밝혔다.

이번 2차 조사에서는 감염 서버가 총 23대로 늘어났으며, 이 중 15대는 정밀 분석을 완료했고 나머지 8대는 5월 말까지 분석이 마무리될 예정이다. 발견된 악성코드는 BPFDoor 계열 24종과 웹셸 1종을 포함해 총 25종이다. 앞서 조사단은 1차 조사결과에서 유출된 유심정보의 규모가 9.82GB이며, 가입자 식별키(IMSI) 기준 2695만7749건임을 확인했다.

민관합동조사단은 6월까지 전체 서버를 대상으로 악성코드 감염 여부와 자료 유출 정황을 지속 점검할 계획이다. 조사단 관계자는 “국민 피해가 발생할 수 있는 정황이 확인될 경우 즉시 공개하고 사업자로 하여금 신속히 대응토록 하겠다”며 “정부 차원의 대응책도 강구해 나갈 것”이라고 밝혔다.