SKT, 악성코드 총 33종 발견… 통신기록 유출은 확인 불가

SK텔레콤 해킹 사고로 총 33종의 악성코드가 발견됐으며, 약 2696만 건의 유심정보가 유출된 것으로 확인됐다. 다만 통신기록(CDR) 정보 유출 여부는 확인되지 않았다.

과학기술정보통신부(장관 유상임)는 4일 SK텔레콤 침해사고 민관합동조사단의 조사 결과를 발표했다.

류제명 과기정통부 제2차관은 "조사단은 SK텔레콤의 전체 서버 4만2605대를 대상으로 한 조사를 통해 총 28대의 감염 서버를 발견했다"며 "해당 서버에서 BPF도어 27종을 포함해 타이니쉘 3종, 웹쉘 1종, 오픈소스 악성코드 2종(CrossC2 1종, 슬리버 1종) 등 총 33종의 악성코드를 확인했다"고 밝혔다.

조사 결과에 따르면 공격자는 2021년 8월부터 SK텔레콤 시스템에 침투해 약 3년 7개월간 잠복한 뒤 단계적으로 침투 범위를 확대했다. 초기에는 외부 인터넷 연결 접점이 있는 시스템 관리망 서버에 침투한 뒤, 평문으로 저장된 계정 정보를 활용해 음성통화인증(HSS) 관리서버와 고객 관리망까지 접근 권한을 확보했다.

올해 4월 18일 공격자는 HSS 3개 서버에 저장된 유심정보 9.82GB(약 2696만 건)를 외부로 유출했다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이다. 특히 유심 복제에 활용될 수 있는 정보인 유심 인증키(Ki) 값이 암호화되지 않은 상태로 저장돼 있었던 것으로 드러났다.

세계이동통신사업자협회(GSMA)는 해당 정보의 암호화를 권고하고 있으며, 타 통신사(KT, LGU+)는 이를 암호화해 저장하고 있는 것으로 확인됐다.

조사단은 감염 서버 중 통신기록(CDR) 정보가 평문으로 임시 저장된 서버 1대를 발견했다. 방화벽 로그가 남아있는 기간(2024년 12월 9일~2025년 4월 20일)에는 자료 유출 정황이 없는 것으로 확인했다.

다만 악성코드 감염 시점부터 로그 기록이 없는 기간(2023년 1월 31일~2024년 12월 8일)의 유출 여부는 확인되지 않았다. 개인정보(이름, 생년월일, 전화번호, 이메일 등)와 단말기식별번호(IMEI) 정보가 저장된 서버 2대도 마찬가지로 로그 기록이 없는 기간의 유출 여부는 확인하지 못했다.

조사단은 SK텔레콤의 정보보호 체계에서 ▲계정정보 관리 부실▲과거 침해사고 대응 미흡▲주요 정보 암호화 조치 미흡 등 3가지 주요 문제점을 지적했다.

특히 SK텔레콤은 2022년 2월 23일 특정 서버에서 비정상 재부팅이 발생해 악성코드에 감염된 서버를 발견했지만, 정보통신망법에 따른 신고 의무를 이행하지 않았다.

SK텔레콤은 이번 사고 대응 과정에서 침해사고 신고 지연 및 미신고, 자료 보전 명령 위반 등 정보통신망법 위반 사항이 확인됐다. 과기정통부는 정보통신망법에 따라 과태료를 부과할 예정이며, 자료보전 명령 위반과 관련해서는 수사기관에 수사를 의뢰할 계획이다.

조사단은 SK텔레콤의 정보보호 투자 규모가 타 통신사 대비 부족하다고 지적했다. 2024년 기준 SK텔레콤의 가입자 100만명당 정보보호 인력은 15명, 투자액은 37억9000만원으로 통신사 평균(17.7명, 57억4000만원)보다 적었다.

과기정통부는 SK텔레콤에 7월까지 재발방지 대책 이행계획을 제출토록 하고, 8~10월 이행 여부를 점검할 계획이다. 주요 재발방지 대책으로는 ▲서버 접속 다중인증 체계 도입 ▲주요 정보 암호화 저장 ▲EDR, 백신 등 보안 솔루션 도입 확대 ▲정보보호 최고책임자(CISO)를 최고경영자(CEO) 직속 조직으로 강화 등이 포함됐다.

과기정통부는 "AI 시대 국가 사이버보안 역량 강화를 위해 이번 사고를 계기로 민간 분야 정보보호 전반의 체계를 개편할 것"이라며 "통신망 보호를 위한 별도 법제도 방안과 민간 정보보호 투자 확대 방안을 국회 과학기술정보방송통신위원회 TF와 논의해 마련하겠다"고 밝혔다.

홍주연 기자
jyhong@chosunbiz.com