SKT 3년 전부터 해킹… 全가입자 유심 털렸다

유출된 유심 정보 2695만7000건
단말기 식별번호도 유출 가능성

크게보기

19일 서울의 한 SK텔레콤 대리점에 신규 가입 중단 안내문이 붙어 있다. SK텔레콤 해킹 사건을 조사 중인 민관합동조사단은 이날 2차 조사 결과를 내고 첫 악성코드 감염이 2022년 이뤄졌다고 밝혔다. 또 단말기고유식별번호(IMEI)와 개인정보를 저장하는 서버가 공격받은 정황이 있다고도 했다. 뉴시스

SK텔레콤 해킹 사건을 조사 중인 민관합동조사단은 최초 악성코드 감염이 3년 전인 2022년 6월 이뤄졌다는 2차 조사 결과를 발표했다. 단말기고유식별번호(IMEI)와 개인정보를 저장하는 서버가 공격받은 정황도 새로 확인하면서 유출 피해 우려가 더욱 커졌다.

과학기술정보통신부는 19일 이 같은 내용의 2차 조사 결과를 내놨다. 1차 조사에서 악성코드 감염이 확인된 서버는 5대로 이 가운데 홈가입자서버(HSS) 3대에서 25종의 정보 유출이 확인됐다. 2차 조사에서 감염 서버 18대가 추가 발견됐다. 유출된 유심 정보는 2695만7749건에 달해 사실상 전체 가입자의 정보가 유출된 것으로 확인됐다. SK텔레콤과 알뜰폰 이용자를 합친 고객은 2500만 명이다.

새로 확인된 서버 중 2대는 개인정보가 임시로 관리되는 서버로 파악됐다. 이에 따라 IMEI 등 개인정보 유출 가능성이 거론되고 있다. 과기정통부 관계자는 “고객 인증이 목적인 해당 서버에 IMEI 29만1831건과 이름·생년월일 등 개인정보가 포함된 사실을 확인했다”고 밝혔다.

IMEI가 탈취됐을 경우 복제 유심을 악용하는 ‘심 스와핑’ 피해로 이어질 수 있다. 조사단은 방화벽 로그 기록이 남아 있는 지난해 12월 3일부터 지난달 24일까지 데이터 유출이 없었다는 점을 확인했다. 다만 악성코드가 최초 설치된 2022년 6월 15일부터 지난해 12월 2일까지의 유출 여부는 확인하지 못했다. SK텔레콤 측은 “비정상인증차단시스템(FDS)을 버전 2.0으로 고도화해 복제폰이 SK텔레콤 망에 접속하는 것을 차단하고 있다”고 했다.

SKT 감염서버 5→23대로 늘어… 유출 없다던 IMEI도 포함됐다

2차 조사… 악성코드 21종 추가 발견
IMEI 유출땐 ‘유심 복제’ 피해 우려… 조사단 “인증키 없으면 폰복제 불가”
SKT “비정상 인증차단 최고 단계로”… 경찰 “내부직원 연루 가능성도 수사”

SK텔레콤 가입자들의 개인정보를 관리하는 서버까지 해킹 공격을 당한 것으로 확인되면서 유심 복제에 대한 우려가 다시 증폭되고 있다. 민관합동조사단의 2차 조사 결과 악성코드 감염 서버가 기존 5대에서 23대로 대폭 늘었고, 악성코드 종류도 21종이 추가로 발견됐다.

이번 해킹 공격이 3년 가까이 이뤄진 데다 유출 피해가 유심 가입자식별키(IMSI) 기준으로 2695만7749건에 달해 국가 안보 차원의 대책 마련이 시급하다는 지적이 나온다.

● IMEI 유출 없다더니… “심 스와핑 가능성 우려”

19일 과학기술정보통신부에 따르면 이번 조사에서 감염이 확인된 서버에는 1차 조사 때는 유출되지 않았다던 단말기고유식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 가입자가 가입할 때 통신사에 제공하는 개인정보가 포함됐다. 다만 현재 확인된 로그 기록만으로 실제 유출 여부를 확인할 수는 없는 상황이다.

조사단 부단장을 맡고 있는 이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장은 “(해당 기간) 로그가 없으면 현실적으로 (유출 여부) 판단이 굉장히 어렵다”고 했다.

전문가들은 IMEI 정보가 실제 유출됐다면 유심을 복제해 악용하는 ‘심 스와핑’ 피해가 생길 수 있다고 지적한다. 유출된 정보의 종류가 많을수록 이를 조합해 범죄에 사용할 가능성이 높고, 유심보호서비스 등 방어장치를 무력화할 수도 있다는 것이다. 염흥열 순천향대 정보보호학과 교수는 “이미 IMSI 유출이 이뤄진 상황에서 IMEI까지 유출된 사실이 확인될 경우엔 심 스와핑 공격 가능성이 커졌다고 봐야 한다”고 했다.

조사단은 개인정보보호위원회의 정밀 조사가 필요한 사항이라고 보고 개보위에 조사 결과를 통보했다. 개보위 측은 이날 “신규로 유출이 확인된 통합고객시스템 서버 2대에 이름, 생년월일, 휴대전화번호, 이메일, 주소 등 고객의 중요 개인정보를 포함하여 총 238개 정보가 저장되어 있었다”고 밝혔다.

다만 조사단과 SK텔레콤은 IMEI 유출 관련 피해가 아직 발생하지 않았고, 유출됐다고 해도 스마트폰 복제까지는 기술적으로 어렵다고 했다. 류제명 과기정통부 네트워크정책실장은 “제조사가 가진 단말기별 인증키 없이 15자리 숫자로 이뤄진 IMEI 값만 갖고 복제폰을 만드는 건 물리적으로 불가능하다”며 “만에 하나 복제폰이 만들어져도 네트워크에 접속하는 것이 완벽하게 차단되므로 과도하게 불안해하지 않았으면 한다”고 했다.

SK텔레콤은 18일부터 비정상 인증 차단 시스템(FDS)을 가장 높은 단계로 격상해 운영하고 있다. SK텔레콤 측은 “단말기 제조사인 A사와 B사에 의뢰한 결과 폰 복제가 불가능하다는 답을 받았다”며 “설사 최악을 가정해 사실상 단말기가 복제됐다고 하더라도 FDS 2.0을 통해 불법 침입을 차단할 수 있다”고 설명했다.

● 경찰 “내부 직원 연루 가능성도 열어놔”

경찰은 SK텔레콤 해킹 수사를 이어가고 있다. 서울경찰청 관계자는 19일 “사이버수사대가 SK텔레콤 시스템 내 악성코드, 서버 로그 기록을 분석 중”이라고 밝혔다. 경찰은 내부 직원이 해킹에 연루됐다는 의혹에 대해서도 모든 가능성을 열고 수사를 진행 중이다.

임종인 고려대 정보보호대학원 교수는 “영리적 목적의 해킹이 아닌 것으로 추정되기 때문에 이번 해킹의 원인과 배후를 밝히는 데 수개월이 걸릴 수 있다”며 “우리 자체적인 민관 조사뿐 아니라 중국 등 해킹 그룹에 대한 정보가 많은 미국과도 협력해 조사할 필요가 있다”고 했다.