SKT 감염서버 5대→23대로 늘었다…유출 없다던 IMEI도 안심 못해

지난달 발생한 SK텔레콤 해킹 사고에서 단말기 고유식별번호(IMEI)도 유출됐을 가능성이 있는 것으로 나타났다.

과학기술정보통신부는 이 같은 내용이 담긴 SK텔레콤 침해사고 민관합동조사단의 2차 조사 결과를 19일 발표했다.

지난달 29일 1차 발표에선 공격받은 정황이 있는 5대 서버를 조사했고 전화번호와 가입자 식별키(IMSI) 등 25종이 유출됐다는 사실이 밝혀졌다. BPFDoor 계열 악성코드 4종을 발견했고 피해확산 방지를 위해 기관·기업에 공유했다.

조사단은 이후 초기 발견된 BPFDoor 감염 여부 확인을 위해 먼저 리눅스 서버를 집중적으로 점검하고 있다. 다음 달 말까지 BPFDoor 및 타 악성코드 감염 여부 확인을 위해 리눅스 포함 모든 서버로 점검 대상을 확대할 예정이다. 현재까지 4차례 점검이 실시된 1단계 결과를 정리해 이날 2차 발표에 나섰다.

이날 기준 현재 총 23대의 서버 감염이 확인됐다. 기존 5대에 18대가 추가로 확인됐다. 악성코드도 21종을 추가로 발견해 총 25종으로 늘어났다. 유출된 유심정보의 규모는 9.82기가바이트(GB), IMSI 기준 2695만7749건이란 사실도 확인했다.

조사단은 감염이 확인된 23대 서버 가운데 15대에 대한 정밀 분석을 마쳤다. 나머지 8대는 이달 말까지 분석을 완료할 예정이다. 분석이 끝난 15대 가운데 개인정보 등을 저장하는 서버 2대를 확인했다. 이 서버는 통합고객인증 서버와 연동되는 서버다. 고객 인증을 목적으로 호출된 IMEI와 이름, 생년월일, 전화번호, 이메일 등의 개인정보가 포함됐다.

조사단은 조사 초기 IMEI가 저장된 38대 서버의 악성코드 여부를 조사해 감염되지 않았다는 사실을 확인했다. 하지만 악성코드가 감염된 서버에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함됐다는 사실이 밝혀졌다.

조사단은 해당 서버의 저장된 파일에 총 29만1831건의 IMEI가 포함된 사실을 확인했다. 정밀 조사 결과 방화벽 로그기록이 남아있는 작년 12월 3일부터 지난달 4월 24일에는 자료 유출이 없었다. 하지만 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 2022년 6월 15일부터 작년 12월 2일까지의 자료 유출 여부는 현재까지 확인되지 않았다.

조사단은 SK텔레콤에 자료 유출 가능성을 확인하고 피해 예방 조치를 세우라고 요구했다.

이승우 기자 leeswoo@hankyung.com