SK텔레콤이 해킹 공격을 받아 2,600만여 가입자의 유심(USIM) 정보는 물론 개인정보가 담긴 서버까지 침해됐으며, 해킹은 이미 3년 전 시작된 것으로 확인됐다.

민관 합동조사단은 19일 정부서울청사에서 2차 조사 결과를 발표하고, 해킹 피해 서버가 기존 5대에서 23대로 늘었으며 이 가운데 2대는 개인정보가 임시 저장되는 서버였다고 밝혔다. 해당 서버엔 이름, 생년월일, 전화번호, 이메일 등이 보관된 것으로 추정된다.

조사단에 따르면 해커가 악성코드를 심은 시점은 2022년 6월15일로 특정됐다. 당시부터 지난해 12월2일까지의 기간은 로그 기록이 없어 데이터 유출 여부를 확인하지 못했고, IMEI(단말기 고유식별번호) 등 민감 정보가 유출됐을 가능성도 배제할 수 없다고 밝혔다.

1차 조사에서는 홈가입자서버(HSS) 3대를 포함해 5대에서 총 9.82GB, 약 2,695만 건의 유심 정보(IMSI 등) 유출이 확인됐다. 2차 조사에서 18대 추가 감염 서버가 발견됐으며, 8대에 대한 포렌식 분석은 현재 진행 중이다.

특히 새롭게 드러난 2대의 서버는 통합고객인증 시스템과 연동돼 있어 IMEI 등 민감 정보를 임시 저장한 것으로 확인됐다. 조사단은 이들 서버 내 파일에서 총 29만2000여 건의 IMEI 관련 정보가 포함된 것을 확인했지만, 해킹 여부는 추가 분석이 필요하다고 설명했다.

다만 조사단은 로그가 남아 있는 지난해 12월3일부터 올해 4월24일까지는 유출 흔적이 없다고 밝혔지만, 로그가 존재하지 않는 1년 반 가까운 기간은 추적이 어렵다는 점에서 우려가 커지고 있다.

앞서 밝혀진 악성코드는 BPF도어(BPFDoor) 등 중국계 해커 조직이 사용하는 수법에다 웹셀(WebShell)이라는 신종 기술이 결합된 형태로, 현재까지 확인된 악성코드는 총 25종이다. 감염된 서버는 대부분 리눅스 기반이며, 조사단은 윈도 장비 등으로 점검 범위를 확대하고 있다.

조사단은 SK텔레콤에 지난 11일 개인정보 유출 가능성을 알리고 이용자 보호조치를 요구했으며, 13일에는 개인정보보호위원회에 관련 사실을 공식 통보하고 자료를 공유했다. 개보위는 정확한 유출 범위를 확인할 방침이다.

현재까지 민간·공공 부문에서 별도의 피해 신고는 없지만, 전문가들은 이번 사건이 통신사 보안을 넘어 국가 안보 차원의 대응을 필요로 한다고 지적하고 있다. 조사단은 다음 달까지 SK텔레콤 전산망에 대한 정밀 조사를 이어가며, 주요 통신사 및 플랫폼사 4곳에 대해 일일 또는 주 단위 점검을 병행 중이다.