과학기술정보통신부와 한국인터넷진흥원, 국가정보원, 개인정보보호위원회 등이 참여한 민관 합동조사단은 19일 서울 정부청사에서 SKT 해킹 사건 2차 조사 결과를 발표했다. 1차 조사 당시 악성코드 감염이 확인됐던 서버는 5대였지만, 이번에 18대가 추가로 확인되며 피해 서버는 총 23대로 늘었다.
특히 추가로 확인된 서버 중 2대는 이름·생년월일·전화번호·이메일 등 개인정보가 임시 저장되는 장비로, 유출 가능성이 낮다고 봤던 개인정보가 실제로 빠져나갔을 가능성이 커졌다는 분석이다. 해당 서버는 통합고객인증 시스템과 연동돼 단말기 식별번호(IMEI)와 함께 민감 정보를 저장하고 있었던 것으로 조사됐다.
조사단은 IMEI 유출 가능성과 관련해, 해당 정보가 포함된 파일이 감염 서버에서 확인됐다고 밝혔다. 실제로 해당 파일에는 총 29만2831건의 IMEI가 포함돼 있었다. 이는 휴대전화 복제나 금융사기 등 2차 피해 우려를 키우는 대목이다.
다만 조사단은 방화벽 로그 기록이 남아 있는 2023년 12월3일부터 2024년 4월24일까지는 정보 유출 정황이 없었다고 설명했다. 그러나 최초 악성코드가 침입한 2022년 6월15일부터 지난해 12월2일까지는 로그가 남아있지 않아 유출 여부를 확인할 수 없는 상태다. 해커가 고의로 로그를 삭제한 정황은 현재까지 확인되지 않았다.
이와 함께 SK텔레콤이 로그를 4개월만 보관하고, 개인정보를 암호화하지 않은 사실도 드러나 개인정보보호법 위반 여부를 놓고 개인정보보호위원회가 정밀 조사에 착수했다. 조사단은 지난 11일 해당 사실을 SKT에 통보하고, 비정상 인증 탐지 시스템(FDS) 고도화 등 피해 방지 조치를 요구한 바 있다.
이번 공격에 사용된 악성코드는 기존에 밝혀졌던 12종에 더해 웹셸(Web Shell) 등 신종 수법이 포함되며 총 25종으로 늘었다. 웹셸은 외부 침입 시 사용되는 악성코드로, SKT 서버에 최초 침입 시점을 특정하는 열쇠가 됐다.
조사단은 SK텔레콤의 리눅스 서버 3만대를 4차례 점검했고, 6월 말까지 윈도 서버 및 기타 장비로 확대 점검을 진행할 계획이다. 또 ‘통신사 및 플랫폼 보안점검 태스크포스’를 구성해 SKT를 포함한 4개사의 시스템을 일일 또는 주간 단위로 점검 중이다.
류제명 과기정통부 네트워크정책실장은 “위약금 면제 여부는 조사 결과를 바탕으로 약관 해석을 엄정히 판단하겠다”며 “이번 해킹은 일반적인 경제적 목적과는 다른 양상을 보이고 있어 해커의 목적에 대해서도 면밀히 들여다보고 있다”고 말했다.
오상민기자 sm5@ksilbo.co.kr.
저작권자 © 울산일보 무단전재 및 재배포 금지
