SKT 서버 악성코드 첫 감염 시점은 2022년 6월
악성코드 25종, 감염 서버 23대로 늘어… IMEI·개인정보 보관 서버도 감염
개인정보 암호화 처리 없이 ‘펑문 저장’… “개보위서 위법 여부 논의”
KISA “악성코드·감염 서버 추가 발견, 위험도 증가 증후는 아냐”
최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SK텔레콤 침해사고 관련 민관합동 조사 결과 2차 발표 브리핑을 하고 있다./연합뉴스
SK텔레콤이 약 3년간 해킹 공격 시도를 인지하지 못했던 것으로 나타났다. 공격에 사용된 악성코드 종류와 감염된 서버는 25종, 23대로 각각 집계됐다. 다만 과학기술정보통신부는 “위험성이 증가한 건 아니다”라고 설명했다.
SK텔레콤 해킹 사고를 조사 중인 민관합동조사단은 19일 정부서울청사에서 브리핑을 열고 2차 결과를 발표했다. SK텔레콤 서버를 대상으로 한 해킹 공격이 시작된 시점은 2022년 6월 15일로 파악됐다. SK텔레콤이 한국인터넷진흥원(KISA)에 침해 사실을 신고한 건 올해 4월 22일이다. 민관합동조사단장을 맡고 있는 최우혁 과기정통부 정보보호네트워크정책관은 “SK텔레콤이 (서버가 악성코드에 감염됐다는 점을) ‘사고 이후’ 인지했다”고 말했다.
공격에 사용된 악성코드 종류는 총 25종(BPFDoor 계열 24종과 웹셸 1종), 감염된 서버는 총 23대로 집계됐다. 앞서 발표된 민관합동조사단 1차 결과보다 21종, 18대가 증가한 수치다. 이 가운데 15대는 포렌식 등 정밀 분석이 끝났지만, 남은 8대에 대한 정밀 탐지는 진행 중이다.
이동근 KISA 디지털위협대응본부장은 “추가로 발견된 악성코드 웹셸은 최초 침투 목적”이라며 “지금 시점에서 유출이 확인된 건 없어 악성코드 종류 추가 발견과 서버 대수 증가로 (정보 보안 사고) 위험도가 갑자기 확 늘어났다는 징후는 보이지 않는다”고 했다.
그래픽=손민균
SK텔레콤 서버에서 외부 유출이 확인된 유심(USIM·가입자식별장치) 정보 규모는 9.82기가바이트(GB)로, 가입자 식별키(IMSI) 기준 2695만7749건이다. 추가로 감염이 확인된 서버에는 단말기 고유식별번호(IMEI)·이름·생년월일·전화번호·이메일 등 가입자 개인정보가 포함된 것으로 확인됐다. 이런 개인정보들은 별도의 암호화 과정을 거치지 않고 모두 평문으로 저장돼 있었다.
감염 서버에 저장된 29만1831건의 IMEI 정보는 작년 12월 3일부터 올해 4월 24일까지는 유출되지 않은 것으로 확인됐다. 다만 최초로 악성코드가 설치된 시점인 2022년 6월 15일부터 작년 12월 2일까지는 로그기록이 남아있지 않아 유출 여부를 정확히 확인할 수 없는 구조다.
이 본부장은 “로그가 없으면 현실적으로 판단이 굉장히 어렵다”며 “다양한 시나리오를 바탕으로 다각적인 검토를 하고 있다”고 설명했다. 조사단은 로그기록이 없는 기간의 IMEI 및 개인정보 유출 여부는 향후 정밀 포렌식 작업을 거쳐 조사할 방침이다. 해커가 로그기록을 삭제한 정황은 확인되지 않았다. SK텔레콤이 로그기록을 약 4개월 기간만 보관한 점과 유출된 개인정보를 암호화하지 않은 등의 개인정보보호법 위반 여부는 향후 개인정보보호위원회에서 판단하게 된다.
유출된 정보를 조합해 유심을 복제하고 다른 휴대전화에 꽂아 불법적 행위를 하는 ‘심 스와핑’(SIM Swapping) 우려가 SK텔레콤 침해 사고 발생 직후 제기돼 왔다. 1차 조사에서는 IMEI 정보가 유출되지 않았다고 발표되면서 ‘복제 유심’에 대한 보안 사고 발생 가능성이 비교적 낮게 평가됐다. 그러나 지금 조사 결과로는 IMEI 정보가 유출되지 않았다고 단정할 수 없는 상황이다.
류제명 과기정통부 네트워크정책실장은 “15자리 IMEI 값만으로는 복제 스마트폰이 불가능한 점을 제조사 등으로부터 확인했다”며 “SK텔레콤이 보안 고도화 작업을 완료해서 (유심 복제 환경이 만들어졌다고 하더라도 심 스와핑이) 물리적으로 불가능하다고 판단한다”고 말했다.
SK텔레콤 측은 이날 비정상 인증 차단 시스템(FDS)을 가장 높은 단계로 격상해 운영하고 있다고 밝혔다. IMEI 유출 가능성이 제기된 데 따른 후속 조치로 풀이된다.
- Copyright ⓒ 조선비즈 & Chosun.com -
Copyright © 조선비즈. 무단전재 및 재배포 금지.
매주 일요일 밤 0시에 랭킹을 초기화합니다.