SKT 악성코드, 3년전부터 심어져 있었다…IMEI 유출 가능성 높아

최연재 기자입력 2025-05-19 13:17

기사공유
폰트크기

19일 SKT 침해사고 민관합동 조사결과 2차 발표
"최초 악성코드 심어진 시점인 2022년 6월15일 ~2024년 12월 2일 로그 기록 없어 유출 여부 확인 불가능"

최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관합동 조사결과 2차 발표 브리핑을 하고 있다 사진연합뉴스 — 최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SKT 침해사고 관련 민관합동 조사결과 2차 발표 브리핑을 하고 있다. [사진=연합뉴스]

SK텔레콤(SKT) 해킹 사고와 관련해 민관합동조사단이 조사 중인 가운데, 감염된 서버에서 단말기 고유식별번호(IMEI) 29만건이 포함된 파일이 임시 저장돼 있던 사실이 중간조사에서 확인됐다. 감염된 서버에는 SKT 내부 규정상 5개월치의 로그 기록만 남아 있었다. 정밀조사 결과 최초 악성코드가 심어진 시점인 2022년 6월 15일~2024년 12월 2일 기간 동안에는 로그 기록이 없어 유출 여부 확인도 불가능한 상황이다. 개인정보가 담긴 서버였지만 암호화도 되지 않은 상태였다. 조사단은 IMEI 유출 가능성을 열어두고 SKT에 최악의 상황에 대비한 대책 마련을 지시했다.

과학기술정보통신부는 19일 정부서울청사에서 ‘SKT 침해사고’ 2차 조사 결과를 발표하며 이 같은 내용을 밝혔다. 악성코드에 감염된 서버 중 고객 인증 시스템과 연동된 2대에서 IMEI, 이름, 생년월일, 전화번호, 이메일 등 개인정보가 담긴 파일이 임시 저장돼 있었고, IMEI는 총 29만1831건으로 확인됐다.

조사단은 2024년 12월 3일부터 2025년 4월 24일까지 방화벽 로그 기록상 자료 유출 흔적은 발견되지 않았다고 밝혔다. 그러나 악성코드 최초 설치 시점인 2022년 6월 15일부터 2024년 12월 2일까지의 로그 기록은 남아 있지 않아, 이 기간 내 유출 가능성은 배제할 수 없는 상황이다.

최우혁 과기정통부 정보보호네트워크정책관은 "최근 로그 기록상에서는 유출이 없었다는 것을 확인했다"면서도 "그 이전은 로그가 남아있지 않아 추정이 어려워 수사 상황과 다크웹 등을 모니터링 중"이라고 설명했다.

관련기사

조사단은 지난 4월 29일 1차 발표 당시에는 IMEI 유출이 없다고 밝혔으나, 이후 정밀포렌식 과정에서 일부 서버에 IMEI가 일정 기간 임시 저장됐던 사실이 추가로 드러났다. 해당 서버들은 통합고객인증 시스템과 연동돼 인증 과정에서 IMEI가 저장된 것으로 추정된다.

IMEI만으로 복제폰 제작은 어렵다는 게 제조사와 당국의 판단이다. 류제명 과기정통부 네트워크정책실장은 "IMEI만으로 복제폰 제작은 기술적으로 불가능하다는 점을 제조사로부터 확인받았다"며 "복제폰이 제작되더라도 이상거래탐지시스템(FDS)과 유심보호서비스가 작동 중이어서 추가 피해 가능성은 낮다"고 밝혔다.

이어 "현재까지 피해 사실은 확인되지 않았지만, SKT에는 피해 발생 시 보상 방안을 마련하라고 지시했다"고 덧붙였다.

다만 로그 기록이 4~5개월치밖에 남아 있지 않다는 점도 또 다른 문제로 지적된다. 이로 인해 2022년 6월 15일부터 2024년 12월 2일까지의 유출 여부는 사실상 확인이 불가능하다.

이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장은 "해당 로그 기록은 방대한 데이터를 다루다 보니 내부 규정상 5개월치만 보관한다고 전달받았다"고 답했다.

또한 감염 서버에 임시 저장된 개인정보가 암호화돼 있지 않아 해킹에 취약했다는 점도 지적됐다. 이에 대해 이 본부장은 "암호화 미적용 여부는 개인정보보호위원회가 판단할 사안"이라고 말했다.

과기정통부는 감염 서버를 확인한 즉시 SKT에 유출 가능성에 대한 선제 대응을 요청하고, 개인정보보호위원회에 관련 사실을 5월 13일 통보, 5월 16일 자료를 공유했다고 밝혔다.

이번 2차 조사에서 감염된 서버는 총 23대로 늘어났으며, 이 중 15대는 정밀 분석을 마쳤고, 나머지 8대는 5월 말까지 분석이 완료될 예정이다. 발견된 악성코드는 BPFDoor 계열 24종과 웹셸 1종 등 총 25종이다. 앞서 조사단은 1차 조사에서 유출된 유심정보 규모가 9.82GB, 가입자 식별키(IMSI) 기준으로 2695만7749건에 달한다고 발표한 바 있다.

조사단은 오는 6월까지 전체 서버를 대상으로 악성코드 감염 여부와 자료 유출 정황을 점검할 예정이다. 조사단 측은 "국민 피해가 우려되는 정황이 확인되면 즉시 공개하고, 사업자가 신속히 대응하도록 하겠다"며 "정부 차원의 대응책도 병행해 마련해 나갈 것”이라고 말했다.