SKT 해킹 2차 조사결과 발표…서버 감염·단말기 고유번호 유출 가능성

19일 오전 서울 종로구 정부서울청사에서 과학기술정보통신부 최우혁 정보보호네트워크정책관이 SK텔레콤 침해사고 관련 민관합동조사단 중간 조사 결과를 발표하고 있다. [사진=뉴시스]

【투데이신문 최주원 기자】 SK텔레콤 침해사고 민관합동조사단(이하 조사단)이 2차 조사결과를 발표했다.

19일 과학기술정보통신부(이하 과기부)는 SK텔레콤 서버 침해사고와 관련해 조사단이 현재까지의 조사결과를 발표했다고 밝혔다.

이번 발표는 지난달 29일 1차 발표에 이은 두 번째 발표로, 조사단은 6월까지 리눅스를 포함한 전 서버에 대한 정밀 점검을 예고한 가운데 중간 경과를 보고했다.

조사단은 리눅스 서버 3만여 대를 대상으로 4차례 점검을 진행한 결과, 총 23대의 서버가 악성코드에 감염된 사실을 확인했다. 이 중 15대는 디지털 자료 복원(포렌식)과 접속 로그 분석 등을 통해 정밀 분석을 마쳤고 나머지 8대는 이달 말까지 분석을 마칠 예정이다. 조사단에 따르면 현재까지 총 25종의 악성코드(BPFDoor 계열 24종, 웹셸 1종)를 탐지했다.

문제의 악성코드는 은닉성이 강하고 내부 시스템 깊숙이 침투할 수 있는 BPFDoor 계열로, 4차 점검에선 국내외에서 알려진 202종의 변종을 모두 탐지할 수 있는 도구가 활용됐다. 1~3차 점검은 SK텔레콤 자체 진단 후 조사단의 검증 방식으로, 4차 점검은 한국인터넷진흥원(KISA) 인력의 지원을 받아 조사단이 직접 진행했다.

악성코드 및 감염 서버 현황 [자료=과학기술정보통신부]

1차 조사에서 드러난 유심정보 유출 규모는 9.82GB로, 가입자 식별키(IMSI) 기준 2695만 7749건임이 재확인됐다. 조사단은 최근 정밀 분석 과정에서 개인정보 저장 가능성이 있는 서버 2대를 식별했으며, 이 서버들은 SKT의 통합고객인증 시스템과 연동된 것으로 단말기 고유식별번호(IMEI), 이름, 생년월일, 전화번호, 이메일 등이 저장돼 있었다고 발표했다.

특히 고객 인증 목적으로 호출된 29만여 건의 단말기 IMEI가 통합고객인증 연동 서버에 저장돼 있었다. 조사단이 2차에 걸쳐 정밀 조사한 결과, 방화벽 로그가 남아있는 기간(2024.12.3~2025.4.24)에는 자료 유출이 없었으나, 최초 악성코드 설치 시점부터 로그 기록이 없는 기간(2022.6.15~2024.12.2)의 유출 여부는 현재까지 확인되지 않았다.

조사단은 이 같은 정황을 지난 11일 사업자에게 즉시 통보하고 분석 완료 전이라도 자체 점검을 통해 국민 피해 예방 조치를 취할 것을 요구했다. 또 개인정보 포함 여부를 13일 개인정보보호위원회에 통보하고, 16일 관련 서버 자료를 공유했다고 밝혔다.

과기부는 이번 사고를 계기로 통신 3사 및 주요 플랫폼 기업을 대상으로 보안점검 전담 조직(TF)을 구성하고, 매일 또는 주 단위 점검을 실시하고 있다. 현재까지 민간과 공공 부문 모두에서 추가 피해 사례는 접수되지 않았다.

민관합동조사단 관계자는 “향후 침해사고 조사 과정에서 국민 피해가 우려되는 정황이 발견될 경우, 이를 투명하게 공개하고 신속한 대응을 유도할 것”이라며 “정부 차원의 종합 대책도 강구하겠다”고 말했다.