![[사진=연합뉴스]](https://cdn.thepublic.kr/news/photo/202505/263354_263137_24.jpg)
[더퍼블릭=이유정 기자] SK텔레콤 가입자 전원의 유심(USIM) 정보뿐 아니라, 이름·생년월일 등 개인정보가 저장된 서버까지 해커에 의해 공격받은 것으로 드러났다.
침투 시점은 지난 2022년 6월로, 3년에 걸친 장기 침투 정황과 대규모 정보 유출 가능성에 따라 보안 사안이 기업 차원을 넘어 국가 안보 문제로 확산되고 있다.
19일 업계에 따르면, SK텔레콤 사이버 침해를 조사 중인 민관 합동조사단이 이날 정부서울청사에서 SK텔레콤 해킹 사건에 대한 2차 조사 결과를 발표했다.
기존에 악성코드 감염이 확인됐던 서버 5대 외에 18대가 추가로 감염된 사실이 밝혀지면서, 감염 서버는 총 23대로 늘어났다. 이 중 15대는 포렌식 분석을 마쳤고, 나머지 8대는 분석이 진행 중이다.
특히 이번에 새로 확인된 감염 서버 2대는 개인정보가 일정 기간 임시 저장되는 서버로, 이름, 생년월일, 전화번호, 이메일 등 가입 시 기재하는 민감한 정보가 포함됐을 가능성이 있다는 것이다.
해당 서버는 단말기 고유식별번호(IMEI)도 함께 보유하고 있어, 복제폰 범죄 및 금융사기 등에 악용될 수 있다는 우려가 커지고 있다.
조사단은 당초 IMEI가 저장된 서버 38대는 감염되지 않았다고 밝혔으나, 정밀 분석 결과 연동 서버의 임시 저장 파일에서 총 29만2831건의 IMEI 정보가 포함된 것을 새로 확인했다. 다만, 방화벽 로그가 남아 있는 2024년 12월~ 2025년 4월까지는 데이터 유출이 없었다고 밝혔다.
전문가들은 로그 기록이 없는 구간에서 IMEI까지 유출됐을 경우, 유심을 복제해 다른 기기에 삽입하는 '심스와핑' 등의 사기 수법에 악용될 위험이 한층 높아진다고 지적했다. IMEI는 1차 조사 당시까지만 해도 유출 정황이 없던 것으로 확인돼 심스와핑 우려는 제한적이었다.
문제는 로그 기록이 없는 2022년 6월 15일부터 지난해 12월 2일까지다. 최초 악성코드가 심어진 시점부터 로그 사각지대까지는 약 1년 6개월에 이르며, 이 기간 중 IMEI와 개인정보 유출 여부는 확인이 어려운 상태다. 조사단은 로그 기록이 삭제된 것으로 보고 있다.
조사단은 개인정보 포함 서버 해킹 사실을 지난 11일 SK텔레콤에 통보하고 피해 방지 조치를 요구했다. 이어 13일에는 개인정보보호위원회에 관련 내용을 공식 통보하고 서버 자료를 공유했다.
1차 조사에서는 유심 정보 9.82GB, 약 2695만건이 유출된 것으로 파악됐다. 이는 SK텔레콤과 그 회선을 이용하는 알뜰폰 사용자까지 포함한 전체 가입자 수와 유사한 규모다.
침투 수법도 진화하고 있다. 해커는 중국계 해커 조직이 사용하는 BPF도어 기법 외에도 웹셀이라는 신종 악성코드를 이용한 것으로 나타났다. 기존에 공개된 악성코드는 12종이었지만, 현재까지 확인된 악성코드는 총 25종에 달한다.
조사단은 현재까지 SK텔레콤의 리눅스 서버 3만 대를 4차례 점검했으며, 6월 말까지 윈도 서버 및 기타 장비로 점검 범위를 확대할 계획이다. ‘통신사 및 플랫폼사 보안점검 태스크포스’도 12일부터 가동해 주요 통신사 및 플랫폼 기업 4곳을 일일 또는 주간 단위로 점검 중이다.
더퍼블릭 / 이유정 기자 leelyjwo@thepublic.kr