⁠⁠⁠⁠⁠⁠⁠

SKT 침해사고 민관합동조사단 조사 결과 2차 발표 내용. 과기정통부 제공

SK텔레콤 유심정보 유출 사고에서 가입자식별키(IMSI)뿐 아니라 단말기고유식별번호(IMEI)가 담긴 서버도 악성코드 위협에 노출됐을 가능성이 제기됐다. 다행히 현재까지 IMEI 유출은 없는 것으로 조사됐으나 만에 하나 '폰 복제'가 일어날 가능성을 아예 배제할 수는 없게 됐다. 그럼에도 정부와 전문가들은 그리 걱정할 것 없다는 입장이다.

19일 과학기술정보통신부 등 민관합동조사단의 SKT 침해사고 조사 결과 2차 발표에 따르면 유출된 유심정보 규모는 9.82GB이며 IMSI 기준 2695만7749건으로 확인됐다. 1차 발표 때에 비해 악성코드는 4종에서 25종으로, 감염된 서버는 5대에서 23대로 늘어났다.

특히 이들 가운데 통합고객시스템(ICAS) 서버 2대에서 일정기간 임시로 저장되는 파일 내에 IMEI 29만1831건이 포함됐다. IMEI·IMSI뿐 아니라 이름·생년월일·휴대전화번호·이메일·주소 등 개인정보를 포함해 총 238개 정보(컬럼값 기준)가 저장돼있었다. 방화벽 로그가 남아있는 지난해 12월 3일부터는 IMEI 등 해당 자료 유출이 없었던 것으로 파악됐다.

하지만 최초 악성코드가 설치된 시점으로 추정되는 2022년 6월부터 지난해 12월 2일까지의 자료 유출 여부는 로그가 없어 현재까지 확인되지 않았다. 때문에 1차 발표 때와 달리 IMEI 유출 가능성이 조금이라도 생기면서 일각에선 '심스와핑' 위협이 다시 거론된다. 공격자가 IMSI 등 기존 탈취 정보와 결합해 복제폰을 만드는 식으로 악용하는 것이다.

다만, 실제 피해로 이어질지는 미지수다. 김승주 고려대 정보보호대학원 교수는 "통신망 접속엔 IMSI와 IMEI뿐 아니라 여러 정보가 쓰이므로 이 둘이 모두 탈취돼 복제폰이 만들어졌다고 해도 사전에 막을 수 있다. 더욱이 금융 거래의 경우 국내에선 각종 인증과 OTP 등도 요구되므로 더욱 안심해도 된다"면서 "일반 국민보단 정치권이나 유력·유명 인사들의 통화기록 등을 노렸을 가능성이 있으므로 이에 대해 살필 필요가 있다"고 짚었다.

이와 관련해 SKT는 비정상인증차단시스템(FDS)을 고도화해 IMEI를 도용한 불법 복제폰 접근까지 차단할 수 있도록 한 업그레이드 솔루션을 통신망에 추가 적용하고 있다고 강조했다. 유심의 다양한 고유 특성 정보를 활용할 뿐 아니라 단말 동작에서도 불법·이상 여부를 탐지하는 다중인증 방식이다.

SK 정보보호혁신특별위원회 자문위원인 김용대 카이스트 전기·전자공학부 교수는 "이번 기술은 SKT 유심만이 갖고 있는 고유 정보를 인증해 이 정보가 없는 복제된 유심을 차단할 수 있어 IMEI 등 단말 정보와 무관하게 정상 단말의 보안성을 강화한다"고 설명했다.

또 이날 조사단 브리핑에서 류제명 과기정통부 네트워크정책실장은 이날 브리핑에서 "그동안 높은 수준의 경계를 유지하며 모니터링했는데 실제로 관련 피해가 발생한 것은 없다. (국민들이) 우려하지 않아도 되는 기술적 완성도를 갖고 있다고 판단된다"고 밝혔다.

이처럼 정부와 SKT가 소비자의 실제 피해가 발생할 가능성이 낮다고 했지만 IMEI 탈취 가능성 자체가 사라진 것은 아니다. 로그가 남아있지 않은 약 1년 반가량의 기간에 대해서는 확인이 어렵다. 때문에 SKT의 로그가 반년치도 안 남아있던 점이 논란거리가 되고 있다. 조사단에 따르면 임시 저장 목적의 서버라 SKT 측에서 개인정보보호법상 로그 보관 의무 대상에 해당되지 않는다고 판단한 것으로 보인다.

현행 개인정보보호법에 따르면 개인정보 처리자는 개인정보가 담긴 시스템의 접속기록을 1년 이상, 기간통신사업자의 경우 2년 이상 보관해야 한다. 이와 관련해 개인정보위는 "개인정보가 어떤 식으로든 처리 과정에서 포함돼있는 경우라면 기본적으로 개인정보 처리 시스템에 해당한다"면서도 "해당 서버가 개인정보보호법상 접속기록 의무 보관 대상인지에 대해선 조사를 통해 좀 더 구체적으로 살펴보겠다"고 했다.팽동현기자 dhp@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.