정부 “유심 정보 2695만건 유출… 3년 전 해킹 작업 시작” [SKT 유심 해킹]

정부가 SK텔레콤(대표 유영상) 고객 유심 정보 유출 사고 관련해 유심정보 9.82GB와 가입자 식별키(IMSI) 기준 2695만7749건이 유출됐다고 밝혔다. 또 악성코드가 심어진 시점은 2022년 6월 15일로 약 3년 전부터 해킹 작업이 시작됐다고 했다.

최우혁 과학기술정보통신부 민관합동조사단장(정보보호네트워크정책관)은 19일 지금까지의 조사결과를 2차 중간 발표했다.

최 단장은 처음 악성코드가 심어진 시점을 2022년 6월 15일로 추정했다. 그는 "포렌식을 하면서 악성코드가 설치된 날짜를 전문가들이 분석한다"며 "데이터를 정확하게 추적하고 조사단이 두 차례에 걸쳐서 심도 있게 검토한 뒤에 확정한 결과다"고 설명했다.

조사단은 4월 25일 1차 공지한 4종(감염서버 5대), 5월 3일 2차 공지한 8종에 이어 BPF도어(BPFDoor) 계열 12종과 웹셸 1종을 추가로 확인했다고 밝혔다. 이로써 지금까지 감염서버는 23대로 발견된 총 악성코드는 25종이다. 과기정통부는 총 23대 중 현재까지 15대는 정밀 분석(포렌식·로그분석)을 완료했으며 8대는 5월말까지 분석을 완료할 예정이라고 밝혔다.

과기정통부는 분석이 완료된 15대 중 단말기 고유식별번호(IMEI) 등 개인정보 등을 임시로 저장하는 2대를 확인하고 5월 18일까지 2차에 걸쳐 자료 유출 여부를 추가 조사했다. 해당 서버는 통합고객인증 서버와 연동되는 서버로 고객 인증을 목적으로 호출된 IMEI와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 있다.

조사단은 해당 서버의 저장된 파일에 총 29만1831건의 IMEI가 포함된 사실을 확인했다. 조사단이 2차에 걸쳐서 정밀 조사를 한 결과 방화벽 로그기록이 남아있는 기간(2024년 12월 3일∼2025년 4월 24일)에는 자료유출이 없었다. 또 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(2022년 6월 15일∼2024년 12월 2일)의 자료 유출 여부가 현재까지는 확인되지 않았다.

유출 여부가 현재까지 확인되지 않은 2022년 6월 16일부터 2024년 12월 2일까지 기간에 대한 향후 조사 여부에 대해 민간합동조사단 부단장인 이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장은 "여러 가지 다각적인 검토를 하고 있다. 혹시 여러 시나리오들을 검토하고 있다"며 "지금 수사기관 등이 지금 조사하고 있는 과정인데 SK텔레콤 내부가 아닌 바깥쪽에서 어떤 정보가 나올 수도 있다. 그런 부분까지도 저희가 고려해서 다각도로 검토 중이다"고 했다.

정부는 현재까지 민간, 공공 분야 모두 신고된 피해사례는 없다고 밝혔다. 또 혹시나 있을 IMEI 유출만으로는 향후 복제폰이 만들어질 가능성은 희박하다고 봤다. 

류제명 과학기술정보통신부 네트워크정책실장은 "IMEI 조합이 노출됐다 해서 '복제폰'이 만들어질 가능성은 기술적으로는 거의 해소가 됐다고 판단하고 있다"며 "제조사 판단에 따라 복제폰은 일단 물리적으로 불가능하고 만들어졌다 해도 네트워크에 접속하는 거 자체가 완벽하게 차단된다는 설명을 하고 있어서 국민께서 과도하게 불안해 하지 않았으면 좋겠다"고 말했다.

최우혁 단장은 향후 조사 결과 발표에 대해서는 "최대한 신속히 추진한다. 다만 정밀하고 철저하게 조사한다는 인식으로 조금 더 지연될 가능성도 있지만 최대한 6월 이내 해결해 나갈 것이라고 지금 목표를 잡고 있다"고 했다.

김광연 기자
fun3503@chosunbiz.com