[알파경제=이준현 기자] 과학기술정보통신부와 한국인터넷진흥원(KISA) 등 민관합동조사단이 19일 서울 정부청사에서 SK텔레콤 해킹사고에 대한 2차 조사결과를 발표했다.

2차 조사결과 악성코드에 감염된 서버가 기존 5대에서 23대로 늘어났고, 단말기 고유식별번호(IMEI) 등 추가 개인정보 유출 가능성이 새롭게 제기됐다.

조사단은 4월 29일 1차 발표 후 3주간 추가 정밀조사를 실시한 결과 18대의 감염 서버를 추가로 확인했다고 밝혔다.

이로써 전체 감염 서버는 23대가 됐으며, 이 중 15대에 대한 포렌식 및 로그 분석을 완료했다. 나머지 8대는 5월 말까지 분석을 완료할 예정이다.

특히 이번 조사에서 통합고객인증 서버와 연동된 2대 서버에서 IMEI와 이름, 생년월일, 전화번호, 이메일 등 다양한 개인정보가 포함된 파일이 임시 저장되고 있었던 것으로 확인됐다.

해당 서버에는 총 29만1831건의 IMEI가 포함돼 있었다고 조사단은 전했다.

1차 조사에서는 IMEI 유출이 없다고 발표했지만, 이번 정밀 조사 과정에서 일부 연동 서버에 IMEI가 일정 기간 임시 저장됐다는 점이 추가 확인됐다.

조사단은 "방화벽 로그 기록이 남아있는 2024년 12월 3일부터 2025년 4월 24일까지는 정보 유출이 없었다"고 밝혔다.

다만, 최초 악성코드가 설치된 2022년 6월 15일부터 2024년 12월 2일까지 로그가 남지 않은 기간의 유출 여부는 확인되지 않았다.

이번 해킹에 사용된 악성코드는 총 25종으로 늘어났다. 1차 조사 때 4종이었던 것에서 21종이 추가로 발견됐다. 이 중 BPFDoor 계열 악성코드 24종과 웹셸 1종으로 구성돼 있다. 조사단은 4차 점검에서 국내외에 알려진 BPFDoor 악성코드 변종 202종을 모두 탐지할 수 있는 도구를 적용해 정밀 조사를 실시했다.

유심정보(IMSI) 유출 규모도 구체적으로 확인됐다.

IMSI 기준 2695만7749건의 정보가 유출됐으며, 이는 SK텔레콤 가입자와 알뜰폰 이용자를 합친 전체 고객 수인 2500만명보다 많은 수치다.

SK텔레콤 측은 "스마트폰 외에 스마트워치, IoT(사물인터넷) 등 각종 단말기에 탑재된 유심을 모두 합친 수"라며 "이전 가입자 정보는 유출되지 않았다"고 해명했다.

IMEI 유출 가능성이 제기되면서 복제폰을 통한 2차 피해 우려도 커지고 있다. 유심 정보(IMSI)와 단말기 정보(IMEI)가 모두 유출될 경우 기존 가입자를 도용할 수 있기 때문이다.

이 때문에 IMEI가 유출된 가입자는 유심 교체가 보다 근본적인 해결책이라는 분석이 나온다.

조사단은 개인정보가 포함된 서버의 해킹을 확인한 11일 SK텔레콤에 자료 유출 가능성을 자체 확인하고 이용자 피해를 막을 조치를 강구하도록 요구했다. 또 13일 개인정보보호위원회에 개인정보 포함 서버의 해킹 사실을 통보하고 서버 자료를 공유했다고 전했다.

조사단은 현재까지 SK텔레콤의 리눅스 서버 약 3만대를 4차례에 걸쳐 점검을 완료했으며, 6월 말까지 윈도 서버와 기타 장비 등으로 점검 대상을 확대할 예정이다.

과기정통부는 이번 사태를 계기로 지난 12일부터 '통신사 및 플랫폼사 보안점검 태스크포스'를 운영하며 통신사 및 플랫폼 4개사에 대해 매일 또는 주 단위로 점검 결과를 확인하고 있다고 밝혔다.

 

[ⓒ 알파경제. 무단전재-재배포 금지]