SK텔레콤 해킹으로 복제폰을 발생시킬 수 있는 단말기 고유식별번호(IMEI)가 담긴 서버도 악성코드 위협에 노출됐을 가능성이 제기됐다. 특히 해커가 악성코드를 심은 시점이 2022년 6월15일로 특정돼 개별 기업 수준을 넘어 국가 안보 차원에서 대책을 마련해야 할 문제라는 지적이 나온다.
SK텔레콤 해킹 사건을 조사 중인 민관 합동 조사단은 19일 정부서울청사에서 이 같은 내용의 2차 조사 결과를 발표했다.
앞서 조사단은 지난달 29일 1차 발표에서 악성코드에 감염된 서버 5대 중 홈가입자서버(HSS) 3대에서 가입자 식별번호(IMSI), 인증키 등 유심 정보 4종을 포함한 25종의 정보가 유출됐다고 밝혔다.
조사단은 이후 정밀 점검에서 18대의 감염 서버를 더 발견했다. 악성코드도 21종 더 발견됐다. 현재까지 25종의 악성코드를 통해 23대 서버가 감염된 것이다. 이 가운데 15대는 포렌식 등 정밀 분석이 끝났지만 나머지 8대에 대해서는 분석이 진행 중이다.
특히 이번에 감염이 추가로 확인된 서버에는 IMEI를 비롯한 개인정보가 일정기간 임시로 관리되는 서버 2대가 포함돼 우려를 낳는다. IMEI는 다른 사람이 스마트폰을 복제할 수 있는 심스와핑 공격을 할 수 있는 핵심 정보다. 탈취된 경우 휴대전화 복제와 이상 금융거래에 악용될 수 있다. 조사단은 1차 조사 결과 발표 당시 IMEI가 빠져나가지 않아 복제폰 우려는 없다고 언급한 바 있다.
해당 서버 2대에는 IMEI를 비롯해 이름, 생년월일, 전화번호, 이메일 등 개인정보가 저장돼 있었다. IMEI는 29만1831건 포함돼 있었다.
다만 조사단은 방화벽 로그 기록이 남아있는 기간인 지난해 12월3일부터 올해 4월24일까지 IMEI 유출이 없었다고 확인했다. 기록이 남아있지 않은 2022년 6월15일부터 지난해 12월2일까지의 유출 여부는 현재까지 확인되지 않았다. 조사단은 2022년 6월15일 최초 악성코드가 설치된 것으로 보고 있다.
조사단은 개인정보가 들어 있는 문제의 서버 해킹을 확인한 시점인 지난 11일 SK텔레콤에 자료 유출 가능성을 자체 확인하고 이용자 피해를 막을 조치를 강구할 것을 요구했다. 또, 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라 보고 지난 13일 개보위에 개인정보 포함 서버의 해킹 사실을 통보하고, 서버 자료를 공유했다.
한편, 1차 조사에서 유출이 파악된 유심 정보의 규모는 9.82GB로, IMSI 기준 2695만7749건에 해당한다. SK텔레콤 가입자와 SK텔레콤 회선을 쓰는 알뜰폰 가입자를 합친 2500만명과 비슷한 규모다.
조사단은 지난 14일까지 SK텔레콤의 리눅스 서버 3만대를 총 4차례 점검했고 다음달 말까지 윈도 서버와 기타 장비 등으로 점검 대상을 확대할 계획이다.
이화연 기자 hylee@segye.com
