민관합동조사단 SKT 2차 결과 발표
"악성코드 총 25종…2022년 6월 첫 시작"
"악성코드 총 25종…2022년 6월 첫 시작"
SK텔레콤의 해킹 사건을 조사 중인 민관합동 조사관의 조사 결과, 3년 전 SKT 서버에 악성코드가 처음 심어진 것으로 확인됐다. 이에 따라 해커가 남긴 기록(로그)이 없는 기간에 단말기 식별번호(IMEI) 등 핵심정보가 유출될 가능성도 배제할 수 없게 됐다.
과학기술정보통신부는 19일 정부서울청사에서 이 같은 내용의 SKT 해킹 관련 2차 조사 결과를 발표했다.
조사단에 따르면 이날 현재 총 23대의 서버 감염을 확인해 15대에 대한 포렌식 등 정밀분석을 완료하고 잔여 8대에 대한 분석을 진행 중이다. 이 과정에서 지난 1차 발표 시에는 악성코드 4종이 발견됐지만 이날까지 추가로 21종이 발견돼 총 25종(BPFDoor 24종+웹셸 1종)의 악성코드가 있던 것으로 나타났다.
지난 8일까지 이뤄진 1∼3차 점검은 SKT가 자체 점검 후 조사단이 이를 검증하는 방식으로 진행됐으며, 지난 14일까지 이뤄진 4차 점검은 조사단이 한국인터넷진흥원(KISA)의 인력을 지원 받아 직접 조사를 진행했다.
조사단은 1차 조사결과에서 발표했던 유출된 유심정보의 규모가 9.82GB이며, 가입자 식별키(IMSI) 기준 2,695만7,749건으로 확인됐다.
1차 발표 이후 공격을 받은 정황이 있는 서버는 추가로 18대가 식별돼 현재까지 총 23대다. 그 중 15대는 정밀 분석(포렌식, 로그분석)을 완료했으며, 8대는 5월말까지 분석을 완료할 예정이다.
해당 서버에는 고객 인증을 목적으로 호출되는 IMEI와 이름, 생년얼일, 전화번호 등 개인정보가 들어있다. 조사단이 정밀조사를 한 결과 방화벽 로그기록이 남아있는 2024년 12월 3일부터 2025년 4월 24일까지는 자료유출이 없었다.
다만 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간인 2022년 6월 15일~2024년 12월 2일의 자료 유출 여부는 현재까지 확인되지 않았다.
류제명 과기정통부 네트워크정책실장은 "로그 기록이 있는 기간에는 유출이 전혀 없었고, 기록이 없는 기간은 현재 자료유출 여부가 확인되지 않았기 때문에 유출 가능성에 대해 이야기 하기 어렵다"며 "다만 IMEI는 15자리의 숫자 조합인데, 그 숫자 조합만 가지고는 복제폰이나 쌍둥이폰은 원천적으로 불가능하다는 것이 제조사들의 설명"이라고 전했다.
이어 "현재까지 피해 사실은 확인되지 않았고 신고된 바 없지만, SKT에는 피해 발생 시 보상 방안을 마련하라고 지시했다"고 덧붙였다.
한편 1차 조사에서 밝혀진 BPF도어(BPFDoor)라는 악성코드를 심는 방식은 중국계 해커 그룹이 주로 사용하는 수법으로 알려졌다. 다만 조사단은 "범인과 관련된 부분은 조사단 입장에선 말씀드리기 어렵다"며 "이 부분은 수사기관에서 수사가 진행되는 부분이기 때문에 추후에 그 결과를 봐야 할 것"이라고 말했다.
관련뉴스
