SKT 침해사고 조사단 "IMEI 정보 노출됐지만 복제폰 가능성은 낮아"

최우혁 과기부 정보보호네트워크정책관(조사단 단장)이 19일 SKT 침해사고 2차 조사 결과를 발표하고 있다.ⓒ데일리안 조인영 기자

SK텔레콤(SKT) 해킹 사태와 관련해 단말기 고유식별번호(IMEI) 등 민감한 개인정보가 저장된 서버가 악성코드에 감염된 사실이 확인됐다. 최근 로그 내 유출 흔적은 없었지만, 약 2년간의 로그가 남아있지 않아 과거 유출 가능성에 대한 우려도 커지고 있다.

이에 대해 SKT 침해사고 민관합동조사단(이하 조사단)은 IMEI가 노출됐다고 하더라도 복제폰이 만들어질 가능성은 물리적으로도, 기술적으로도 극히 낮다고 밝혔다.

19일 SKT 침해사고 2차 조사 결과 발표에서 류재명 과학기술정보통신부 네트워크정책실장은 "IMEI 숫자 조합만 가지고는 복제폰은 원천적으로 불가능하다는 것이 제조사들의 해석"이라며 "숫자 외에 단말과 숫자를 인증하는 인증키 값을 제조사들이 갖고 있어 (복제폰이) 워킹하는 상황은 아니라는 해석을 제조사들로부터 듣고 있다"고 설명했다.

류 실장은 이어 "최악의 경우 피해가 발생하지 않았고 현재 작동하는 기술적 시스템(FDS 등)들로 이런 우려들은 안해도 되는 기술적 완성도를 갖고 있다는 판단"이라고 말했다. 다만 기술적으로 100% 복제 우려가 해소됐다고 장담하기는 어려운 만큼 SKT 측에 만일의 피해 발생 시 보상 대책을 확실히 마련할 것을 전달했다고 덧붙였다.

이날 조사단은 2차 조사에서 SKT 전체 리눅스 서버 3만여 대를 점검한 결과, 총 23대에서 악성코드 25종을 발견했다고 밝혔다. 이는 1차 조사 당시보다 감염 범위가 크게 확대된 것이다.

앞서 1차 조사 결과(4월 29일 발표)에서 조사단은 SKT 해킹 피해 정황이 포착된 서버는 5대에 불과하며, 유출된 정보는 유심 관련 25종(전화번호, IMSI 등)에 한정된다고 밝혔었다. 당시 악성코드는 BPFDoor 계열 4종이며, 단말기 고유식별번호(IMEI)는 "유출되지 않았다"고 발표했다.

2차 조사에서 드러난 악성코드는 총 25종(BPFDoor계열 24종 + 웹셸 1종)이다. 악성코드는 1차 공지(4월 25일)에서 4종, 2차 공지(5월 3일)에서 8종이 보고됐고, 이후 추가로 BPFDoor 계열 12종과 웹셸 1종이 발견되면서 총 25종으로 집계됐다.

류 실장은 "1차 발표 시점(4월 29일)은 조사단이 구성된지 6일 만"이라며 당시엔 3만대에 대한 전수 조사가 이뤄지지 않은 상황이라고 설명했다. 그러면서 IMEI 저장 서버는 당시에는 공격 흔적이 없었으나, 이후 추가 조사를 통해 감염 사실이 확인됐다고 덧붙였다.

서버의 방화벽 로그 분석 결과, 방화벽 로그가 남아있는 기간(2024년 12월 3일∼2025년 4월 24일)에는 자료유출이 없었던 것으로 확인했다. 하지만 최초 악성코드 설치 시점으로 추정되는 2022년 6월 15일부터 약 2년간은 로그가 남아있지 않아, 이 기간 유출 여부는 파악되지 않고 있다.

로그가 제한적으로 남아 있다는 지적에 대해 이동근KISA 본부장(부단장)은 IMEI가 저장된 서버는 일시적인 요청 처리를 위한 임시 서버로, 개인정보보호법상 로그 2년 보관 의무가 직접 적용되지는 않는 구조라고 설명했다.

이 부단장은 "임시 저정된 서버는 데이터베이스에서 요청 받아 처리하는 목적이 있다 보니 개인정보보호법에 따라 개인 정보를 보관해야 하는 룰 적용이 안됐다"면서 "방화벽 구간에 남아있는 최종 로그를 확인할 수 밖에 없었고 (SKT)가 4~5개월치만 보관하고 있어 최초 시점(2022년 6월 15일부터 약 2년간)과 연결짓는 로그가 부재했다"고 설명했다.

2차 조사에서 확인된 웹셸(Web Shell)은 일반적으로 널리 알려진 형태로, BPF 도어처럼 고도의 은닉성이 있는 악성코드는 아니라고 조사단은 설명했다. 웹셸은 데이터를 임시 저장하던 서버에서 최초 발견됐으며, 일반적인 홈페이지 침입 수단으로 자주 사용되는 방식이다.

이동근 부단장은 "데이터가 임시로 저장돼있던 서버에서 최초 발견됐고 일반적으로 널리 알려진 웹셸"이라며 "BPF도어처럼 은닉성을 가진 게 아니고, 홈페이지를 장악하는 기술에서 널리 쓰인다"고 설명했다.

악성코드, 감염서버 현황ⓒ과기정통부

2022년 PwC보고서에서 다룬 BPF도어 수법과 이번 SKT 해킹이 동일한 형태인지에 대한 질의에 최우혁 과기부 정보보호네트워크정책관(조사단 단장)은 "BPF도어 동일 형태로 볼 수 있지만 시기적으로 특정이 어렵다. 작년 사례가 SKT 사례라고 단정짓기는 힘들다"고 답했다.

CDR(통화 상세 내역) 데이터베이스는 현재까지 해킹 사실이 확인되지 않았다고 밝혔다. 이동근 부단장은 "CDR 관련 데이터베이스 해킹은 현재 확인이 안됐다"면서 "임시 저장된 IMEI 등 개인정보 부분도 통화 기록에 포함돼있지 않았다"고 설명했다.

조사단은 이번 공격이 단순 정보탈취가 아닌 장기적 해킹 거점 확보를 위한 목적일 가능성도 열어두고 있으며, 북한 등 국가 차원의 조직적 공격 여부도 수사기관과 협의 중이라고 밝혔다.

조사단은 가급적 6월까지 SKT 침해사고 조사를 마무리하겠다는 목표다. 이와 관련해 SKT 신규 가입 제한이 장기화되는 것 아니냐는 질의에 류 실장은 "유심 교체를 원하는 기존 가입자 이익이 가장 우선돼야 된다"면서 "유심 물량이 부족한 상황에서 유심 가입자 교체 수요가 있는데 그 물량이 신규 가입에 사용되는 것을 허용해서는 안된다는 입장"이라고 말했다.

위약금 면제와 관련해서는 법적 검토를 1차적으로 마친 상태로, 정확한 판단을 내리겠다고 했다. 류 실장은 "약관 해석에 있어 회사 귀책 사유가 면제에 해당하는지 법률적 검토를 1차적으로 했고, 약관 해석을 어떻게 하는 것이 합당해야 할지 정확하고도 엄정하게 판단하겠다"고 언급했다.