2025.05.19 (월요일)
토마토증권통TOMATO LiveETOMATO토마토패스증권통클럽IB토마토 회원가입 로그인
SKT 악성코드 3년전 설치…IMEI도 유출 가능성
민관합동조사단, SKT 침해사고 조사결과 2차 발표
IMSI 2600만건 이상 유출…IMEI 서버도 악성코드 감염
현재까지 자료 유출 확인 안돼…조사단 "유출 가능성 낮아"
"IMEI 숫자 조합만으로 복제폰 생성도 불가능" 강조
2025-05-19 14:25:41 2025-05-19 15:20:15
[뉴스토마토 이지은 기자] SK텔레콤(017670) 대규모 유심 해킹 사례를 유발한 최초 악성코드가 3년 전 설치된 것으로 조사됐습니다. 가입자 식별번호(IMSI) 기준 2695만건 이상 유출이 확인된 가운데, 29만건의 단말기 고유식별번호(IMEI)가 포함된 서버도 악성코드에 감염된 것으로 드러났습니다. 사실상 고객 대부분의 정보가 유출됐고, IMEI의 유출 가능성을 배제할 수 없게 됐습니다. 다만 정부는 현재 유출된 정보만으로 복제폰을 만들거나 2차 피해를 낳을 가능성은 낮다는 입장입니다. 
 
SK텔레콤 침해 사고 민관합동조사단은 19일 이러한 내용의 2차 조사 결과를 발표했습니다. 앞서 지난 1차 조사 결과가 나온 지난달 29일 이후 약 20일 만입니다. 1차 조사 결과는 공격 받은 정황이 있는 5대 서버에 대한 내용이었는데, 당시 가입자 전화번호, IMSI 등 유심 복제에 활용될 수 있는 4종과 유심 정보 처리 등에 필요한 SKT 관리용 정보 21종 등 총 25종의 정보 유출이 확인됐습니다. 2차 조사는 리눅스 기반 3만여대에 대해 진행됐습니다. 
 
민관합동조사단장인 최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 SK텔레콤 사이버 침해 2차 조사 결과를 발표하고 있다. (사진=뉴스토마토)
 
이번 조사 결과 1차 발표 당시 5대 서버 감염과 더불어 18대 서버가 추가로 공격받은 것으로 나타났습니다. 총 23대 서버가 감염된 것입니다. 발견된 악성코드도 BPF도어(BPFDoor) 계열 4종에서 BPF도어 계열 24종과 웹셸 1종 등 총 25종으로 늘어났습니다. 
 
SK텔레콤 서버 조사 내용. (자료=민관합동조사단)
 
최초 악성코드가 설치된 시점은 2022년 6월15일로 조사됐습니다. 포렌식 등을 통해 악성코드가 설치된 날짜를 전문가들이 분석한 결과입니다. SK텔레콤은 이번 유출 사고 이후 정밀조사 과정에서 해당 사실을 인지했다는 것이 조사단 측 설명입니다. 이날까지 서버 15대에 대한 포렌식·로그 분석 등 정밀분석 결과 유출된 유심 정보 규모는 9.82GB이며, IMSI 기준 2695만7749건임으로 확인됐습니다. 알뜰폰 가입자를 포함한 SK텔레콤 가입자인 2500만을 넘는 수치입니다. 민관합동조사단 부단장인 이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장은 "임시 정보가 들어 있는 데이터베이스에서 해커가 추출한 전체 규모가 2695만건으로, 이 수치에는 테스트폰과 같이 실제 유효하지 않는 번호도 있을 수 있는데 추후 개인정보보호위원회 등에서 개인정보 유효성 등을 살필 것"이라고 설명했습니다. 
 
지난 1차 조사에서 IMEI 정보 유출이 없었다는 설명과 달리 2차 조사 과정 중인 지난 11일 일정 기간 임시로 저장되는 파일에 29만1831건의 IMEI가 포함된 것으로 드러났습니다. 다만 방화벽 로그 기록이 남아 있는 기간인 지난해 12월3일부터 지난 4월24일까지 관련된 자료 유출은 없었다고 조사단은 밝혔습니다. 
 
그러나 최초 악성코드가 설치된 시점부터 로그 기록이 남아 있지 않은 기간인 2022년 6월15일부터 지난해 12월2일까지의 경우엔 자료 유출 여부가 확인되지 않는 상태입니다. IMEI 정보 유출 가능성을 배제할 수 없는 것으로 볼 수 있는데요. 그럼에도 조사단은 유출 가능성을 낮게 보고 있습니다. 
 
민관합동조사단장인 최우혁 과학기술정보통신부 정보보호네트워크정책관은 "현재까지 조사 결과 (지난해 12월2일 이전은) 자료가 남아 있지 않아 (유출 여부) 추정이 어렵지만, 수사 상황이나 다크웹 등 모니터링 결과 유출이 확인된 바 없다"고 강조했습니다. 류제명 과기정통부 네트워크정책실장도 "조사 과정 중에 IMEI가 노출됐다고 언급한 것은 정보가 유출되지 않았다는 자신감으로 말한 것"이라고 말했습니다. 
 
현재 유출된 정보들을 바탕으로 한 복제폰 등에 따른 피해 가능성도 낮다고 봤습니다. 류제명 실장은 "스마트폰 제조사, 통신사 등 사업자들과 다양한 방식으로 확인하는 과정에 있다"며 "제조사가 인증키값을 가지고 있어 IMEI의 15개 숫자 조합만으로 복제폰을 만드는 것은 원천적으로 불가능하다는 것이 제조사 측 답변"이라고 전했습니다. 그는 또 "SK텔레콤의 비정상인증차단시스템(FDS)도 기존 폰을 무력화하는 시스템이기에 네트워크를 통해 완벽하게 차단된다고 설명하고 있다"며 "100% 장담은 어렵지만, 복제폰에 대한 기술적 불안감은 해소됐다고 판단한다"고 덧붙였습니다. 
 
민관합동조사단은 감염된 서버 중 추가적으로 8대에 대한 정밀 분석을 이달 말까지 완료할 예정입니다. 피해 규모뿐 아니라 해커의 목적에 대해서도 집중적으로 살피고 있습니다. 종합적 결과에 대해서는 6월 이내 발표를 목표로 하고 있습니다. 류 실장은 "BPF도어 계열 악성코드가 자료 탈취의 목적인지, 다른 목적이라면 남아 있는 서버의 악성코드가 다음 단계 공격 거점으로 침투된 것인지 등 다양한 시나리오로 이번 침해 사건을 살피고 있다"고 말했습니다. 
 
이지은 기자 jieunee@etomato.com
 
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.

ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지

지난 뉴스레터 보기 구독하기
관련기사
0/300
댓글 0
0/0 댓글 더보기

뉴스리듬

    이 시간 주요 뉴스

      인기 뉴스

        함께 볼만한 뉴스