“SKT ‘이용자 유심 정보’ 2,600만 건 유출…악성코드 25종 확인”

SKT 해킹 사태로 유출된 이용자의 유심 정보가 SKT 전체 이용자 규모를 뛰어넘는 2천6백만 여건으로 드러났습니다.

SKT 침해사고 민관 합동조사단(이하 조사단)이 오늘(19일) 공개한 2차 조사 결과에 따르면, 유출된 유심 정보는 9.82GB 규모, 가입자 식별키(IMSI) 기준으로는 2천695만 7,749건에 이릅니다.

알뜰폰 가입자를 포함한 SKT 이용자 수는 2,500만 명 수준이지만, 유출된 데이터에는 테스트용 전화번호 등 SKT에서 사용하는 임시값 등이 포함돼 있어 실제 이용자 규모보다 클 수 있다고 조사단은 설명했습니다.

■ 악성 코드 감염되고도 3년간 몰라…핵심 정보 유출 가능성 제기

2차 조사 결과에선 SKT가 악성 코드에 감염되고도 3년 가까이 알아차리지 못했던 사실도 추가로 드러났습니다.

조사단은 SKT의 리눅스 서버 3만여 대를 모두 4차례 점검한 결과, 모두 23대의 서버가 악성 코드에 감염돼 있었다고 밝혔습니다.

악성 코드가 처음 침투된 건 지난 2022년 6월 15일로, 서버를 장악하는 역할을 맡는 '웹셸' 계열 코드로 확인됐습니다.

이후 웹셸 코드가 감지가 까다로운 백도어(BPF도어) 계열 악성 코드를 줄줄이 불러들이는 역할을 하면서, 모두 25종류의 악성 코드가 SKT 내부 시스템에서 발견됐다고 조사단은 밝혔습니다.

지난달 29일 1차 조사에서 밝힌 악성코드 4종 외에 21종이 추가로 확인된 겁니다.

특히, 이른바 '복제 폰' 제작에 쓰일 수 있는 단말기 고유 식별번호(IMEI) 외에도, 이용자 이름·생년월일·전화번호·이메일 등 다수의 개인 정보를 임시 저장하는 서버도 악성 코드에 감염된 것으로 새롭게 확인됐습니다.

조사단은 감염 서버 23대 가운데 15대를 정밀 분석한 결과, 통합고객인증 서버와 연동되는 서버 2대의 임시 저장 파일 안에 이 같은 개인 정보가 포함돼 있었다고 밝혔습니다.

이 안에서 확인된 단말기 고유식별번호는 29만 1,831건에 이릅니다.

조사단은 다만, 두 차례 정밀 조사 끝에 방화벽 로그 기록이 남아 있는 지난해 12월 3일부터 지난달 24일 동안에는 해당 정보가 유출되지 않았음을 확인했다고 설명했습니다.

그러나 악성 코드가 최초로 설치된 2022년 6월 15일부터 2024년 12월 2일까지는 로그 기록이 남아 있지 않아 유출 여부를 확인할 수 없다고 덧붙였습니다.


개인정보보호법 상 개인 정보 저장 서버는 로그 기록을 1년 이상 보관해야 하지만, 해당 서버는 고객인증 서버와 연동돼 데이터베이스 요청이 있을 때만 임시로 파일을 저장하다 보니 SKT의 보관 기간이 짧았던 것으로 보인다고 조사단은 설명했습니다.

로그 기록이 사라진 2년 6개월 동안 핵심 정보가 유출됐을 가능성이 추가로 제기된 셈이지만, 조사단은 지금까지 다크웹 등을 관찰한 결과 정보 유출 정황은 확인되지 않았다고 밝혔습니다.

연동 서버라도 똑같은 수준으로 로그 기록을 보관해야 하는지, SKT의 조치가 적절했는지 여부에 대해서는 개인정보보호위원회가 판단하게 됩니다.

조사단은 현재 나머지 감염 서버 8대를 정밀 분석하는 한편, 리눅스와 윈도우 등 SKT 전 서버에 악성코드 감염 여부를 점검하고 있습니다.

SKT는 오늘 오후 일일 브리핑에서 이번 2차 조사 결과에 관한 입장과 대응 조치 등을 설명할 예정입니다.

[사진 출처 : 연합뉴스]