'SKT 유심 해킹' 어떤 정보 샜나… 민관조사단, 2차 조사 발표

SK텔레콤(SKT) 해킹 민관합동조사단의 2차 조사에서도 단말기 고유식별번호(IMEI) 유출은 없는 것으로 확인됐다.

과학기술정보통신부는 이번 SKT 침해사고 조사를 위해 구성한 민관합동조사단의 지난달 29일 1차 조사 발표 이후 2차 조사 결과를 발표했다.


조사단은 6월까지 SKT 서버 시스템 전체를 강도 높게 점검한다는 목표하에 1단계로 초기 발견된 BPFDoor 감염 여부 확인을 위한 리눅스 서버를 집중 점검했고 BPFDoor 및 타 악성코드 감염 여부 확인을 위해 리눅스 포함 모든 서버로 점검 대상을 확대하는 방식으로 조사를 진행 중이다. 이번 발표는 현재까지 4차례 점검이 실시된 1단계 결과를 정리한 결과다.

조사단은 19일 현재 총 23대의 서버 감염을 확인하여 15대에 대한 포렌식 등 정밀분석을 완료하고 잔여 8대에 대한 분석을 진행함과 동시에 타 악성코드에 대해서도 탐지 및 제거를 위한 5차 점검을 진행하고 있다. 현재까지 악성코드는 25종(BPFDoor계열 24종 + 웹셸 1종)을 발견⋅조치했다.

지금까지 SK텔레콤 리눅스 서버 약 3만여대에 대해 4차례에 걸친 점검을 진행했는데 이는 1차 점검에서 확인한 BPFDoor 계열 악성코드의 특성(은닉성, 내부까지 깊숙이 침투할 가능성 등)을 감안하여 다른 서버에 대한 공격이 있었을 가능성을 확인하기 위한 의도다. 특히 4차 점검은 국내외 알려진 BPFDoor 악성코드 변종 202종을 모두 탐지할 수 있는 툴을 적용했다.


1∼3차 점검은 SKT가 자체 점검 후 조사단이 이를 검증하는 방식으로 진행했고 4차 점검은 조사단이 한국인터넷진흥원(KISA)의 인력을 지원 받아 직접 조사를 벌였다.

조사단은 1차 조사결과에서 유출된 유심정보 규모가 9.82GB이며 가입자 식별키(IMSI) 기준 2695만7749건임을 확인했다. 아울러 악성코드는 1차 공지(지난달 25일)한 4종, 2차 공지(지난 3일)한 8종 외 BPFDoor 계열 12종과 웹셸 1종을 추가로 발견했다.

1차와 2차는 악성코드 특성 정보, 3차(지난 12일)에는 국내외 알려진 BPFDoor 계열 모두를 탐지할 수 있는 툴의 제작방법을 6110개 행정부처, 공공기관, 기업 등에 안내하여 피해 확산을 막고자 했다.
2차 조사 결과 "IMEI 유출 건 없다"… 민간 및 공공 분야 피해 사례도 전무과기정통부는 타 통신사 및 주요 플랫폼 기업 대상으로 유사 사고가 발생할 가능성을 대비해 사건 초기부터 긴밀한 대응을 해왔다. 중앙행정기관, 지자체, 공공기관은 국정원 주관으로 점검을 진행 중인데 현재까지 민간, 공공 분야 모두 신고된 피해사례는 없다는 설명이다.

1차 발표 이후 공격을 받은 정황이 있는 서버는 추가로 18대가 식별됐다(현재 총 23대). 총 23대 중 15대는 정밀 분석(포렌식, 로그분석)을 완료했으며 8대는 5월말까지 분석을 마칠 예정이다.

분석이 끝난 15대 중 개인정보 등을 저장하는 2대를 확인하고 지난 18일까지 2차에 걸쳐 자료 유출 여부에 대해 추가적인 조사를 실시했다. 해당 서버는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 있었다.

조사단은 조사 초기 IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검하여 감염되지 않음을 확인하고 1차 조사 결과를 발표한 바 있다. 이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있음을 확인했다.

해당 과정에서 조사단은 해당 서버의 저장된 파일에 총 29만1831건의 IMEI가 포함된 사실을 확인하였다. 조사단이 2차에 걸쳐서 정밀 조사를 한 결과 방화벽 로그기록이 남아있는 기간(지난해 12월3일부터 지난달 24일)에는 자료유출이 없었으며 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(2022년6월15일부터 작년 12월2일)의 자료 유출 여부가 현재까지는 확인되지 않았다.

조사단은 개인정보 등이 저장된 문제의 서버들을 확인한 지난 11일 사업자에게 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체 확인하고 이로 인한 국민 피해를 예방할 수 있는 조치를 강구하라고 요구했다.

개인정보의 경우 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라 보고 개인정보보호위원회에도 개인정보가 포함되어 있다는 사실을 지난 13일 통보하는 한편 사업자 동의를 얻어 조사단에서 확보한 서버자료를 개인정보보호위원회에 지난 16일 알렸다.