‘유출 없다’는 SKT, 고객은 불안…정부조사서 IMEI 유출 가능성 언급 [SKT 유심 해킹]

정부가 SK텔레콤(대표 유영상) 해킹 사고와 관련해 BPF도어(BPFDoor) 계열 12종과 웹셸 1종 등 13종의 악성코드를 추가로 발견했다. 또 단말기 고유식별번호(IMEI) 유출 가능성도 배제하지 않았다. SK텔레콤은 "유출은 없다"고 강조했지만 이를 지켜보는 SK텔레콤 고객들은 여전히 불안하기만 하다.

SK텔레콤 해킹 사고를 조사하는 과학기술정보통신부 민관합동조사단장인 최우혁 정보보호네트워크정책관은 19일 "유심정보 9.82GB와 가입자 식별키(IMSI) 기준 2695만7749건이 유출됐고 지금까지 감염서버는 23대, 발견된 총 악성코드는 25종이다"라고 설명했다. 또 단말기 고유식별번호(IMEI) 등 개인정보 등을 임시로 저정한 서버 2대를 확인하고 감염 여부를 조사 중이라고 덧붙였다.

과기정통부는 IMEI 등을 저장하는 서버 2대의 경우 로그기록이 남아있는 기간(2024년 12월 3일∼2025년 4월 24일)에는 자료 유출이 없었다고 했다. 하지만 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(2022년 6월 15일∼2024년 12월 2일)의 자료 유출 여부가 현재까지는 확인되지 않았다고 밝혔다. 과기정통부는 처음 악성코드가 심어진 시점을 2022년 6월 15일로 추정했다.

이와 관련해 SK텔레콤은 악성코드 감염 사실은 인정하면서도 개인정보 유출은 없다고 주장했다. 류정환 인프라 전략기술센터 담당(부사장)은 이날 오후 열린 일일브리핑에서 "기술적으로 안전하다"며 "유출이 된다면 100% 책임지겠다"고 밝혔다. 그는 이어 "피해를 입은 서버는 격리 조치했고 이로 인한 유출은 없다"고 덧붙였다.

또 약 3년 동안 악성코드가 심어진 것을 인지하지 못한 데에는 사과했다. 류 부사장은 "침해는 잡기가 어렵다"면서 "유출은 특정 패턴이 있어 들여다 볼 수 있는 만큼 과거에는 그런 부분(유출)이 없었기에 없다고 말할 수 있다"고 밝혔다. 그는 이어 "앞으로는 백신을 설치하는 등 보안 조치를 강화하겠다"고 말했다.

전문가들은 개인정보 유출 위험성은 여전하다고 지적한다. 익명을 요구한 보안 관련 학과 교수는 "과기정통부의 표현은 애매하지만 사실상 IMEI 유출 가능성을 열어둔 것으로 봐야 한다"며 "서버를 전수 조사하는 경우는 드문데 악성코드가 추가로 계속 발견되고 있어 상황이 점점 안 좋아지고 있다"고 우려했다.

고객들도 불안감을 감추지 못하고 있다. 집단소송에 참여한 네이버 'SK텔레콤 개인정보유출 집단소송카페' 회원들은 "2695만건 유출이면 다 털린 게 아니냐", "3년 전부터 해킹이 시작됐다는 도대체 뭘 했느냐", "2022년부터 유출되고 있었다는데 어쩐지 언제부터 스팸이 폭증했다"는 등의 부정적인 반응을 보였다.

정치권도 비판에 가세했다. 국회 과학기술정보방송통신위원회 소속 더불어민주당, 조국혁신당 의원들은 "SK텔레콤의 총체적 보안 관리 부실을 지적하지 않을 수 없다"며 "악성코드 최초 설치 시점(2022년 6월 15일)부터 사고 발견까지 거의 3년간 보안 점검 없이 방치된 사실은 SK텔레콤의 심각한 보안 관리 부실을 보여준다"고 지적했다. 

이들은 또 "암호화가 의무화된 주민번호가 아니라는 이유만으로 IMEI와 개인정보(이름, 생년월일, 전화번호, 이메일)에 암호화 조치를 하지 않은 것은 개인정보를 다루는 SK텔레콤의 안일한 태도를 여실히 보여준다"고 밝혔다.

의원들은 이어 "SK텔레콤은 ‘고객피해가 없다’는 말로 빠져나갈 궁리만 하고 있다"며 "SK텔레콤은 변명으로 일관하지 말고 명확한 책임규명에 협조하며 피해를 입은 이용자와 유통망에 충분한 보상방안을 마련하라다"고 촉구했다. 

김광연 기자
fun3503@chosunbiz.com