SKT 서버, 3년 전 ‘악성코드’ 감염

입력 2025.05.19 20:52

수정 2025.05.19 20:54

노도현 기자
기사 읽기 요약

기사를 재생 중이에요
기사 읽기

유심 해킹사고 발생 이후 인지

단말기 식별번호 유출 가능성

SK텔레콤 해킹과 관련, 단말기 고유식별번호(IMEI)를 임시로 보관하는 서버에 이미 3년 전 악성코드가 침입한 것으로 드러났다. 탈취될 경우 휴대폰 복제 등에 악용될 우려가 있는 IMEI까지 유출됐을 가능성이 있다는 의미다.

SK텔레콤 침해사고 민관합동조사단은 19일 현재까지 서버 23대가 악성코드에 감염됐고, 악성코드 25종을 발견해 조치했다는 내용의 2차 조사 결과를 발표했다. 지난달 29일 1차 조사 때엔 감염 서버 5대, 악성코드 4종이 확인됐는데 이번에 각각 18대, 21종이 추가됐다.

감염된 서버 23대 중 15대는 정밀 분석을 마쳤다. 이 중 2대는 통합고객인증 서버와 연동되는 서버였다.

민관합동조사단은 IMEI와 이름, 생년월일, 전화번호 등 개인정보가 연동 서버의 임시 저장 파일에 포함돼 있다는 사실을 확인했다.

특히 1차 조사 때와 달리 IMEI가 포함된 서버의 감염 사실이 밝혀졌다. 조사단은 방화벽 로그 기록이 남아 있는 지난해 12월3일부터 지난달 24일까지 해당 서버 저장 파일에 있던 29만1831건의 IMEI는 유출되지 않았다고 밝혔다.

그러나 문제는 최초로 악성코드가 설치된 시점이 약 3년 전인 2022년 6월15일로 특정됐다는 점이다. 이날부터 지난해 12월2일까지는 로그 기록이 남지 않아 조사단은 유출 여부를 확인하지 못했다.

류정환 SK텔레콤 인프라네트워크센터장은 별도의 브리핑에서 “현재까지 검토할 수 있는 모든 기록을 봤을 때 추가적인 유출은 없는 걸로 본다”고 말했다.

SK텔레콤은 3년 전 서버가 공격받은 사실을 지난달 유심(USIM) 해킹사고가 발생한 뒤에야 인지했다.

확인된 ‘감염 서버’ 18대로
SKT 측 “복제폰은 불가능”

조사단은 통화 세부 기록(CDR) 관련 해킹은 발견되지 않았다고 밝혔다.

당국과 SK텔레콤 모두 복제폰 피해 발생 가능성은 거의 없다는 입장이다. 양쪽 모두 단말 인증키 값은 휴대폰 제조사들이 가지고 있기 때문에 IMEI 값만으로 ‘쌍둥이 폰’을 만들 수 없다는 답변을 제조사로부터 받았다고 밝혔다.

SK텔레콤은 설령 IMEI가 유출됐다고 해도 전 가입자를 대상으로 제공하는 ‘비정상 인증 차단 시스템(FDS)’과 유심보호서비스로 피해를 차단할 수 있다고 자신했다. 그래도 불안한 고객에게는 유심을 교체해주고 있다는 것이다. 불법 유심·단말 복제로 인한 피해 발생 시 회사가 100% 책임진다고 거듭 강조했다.

추가 조사에서 중국계 해커그룹이 주로 사용하는 ‘BPF도어’ 계열 악성코드 외에 ‘웹셸’ 1종이 새로 확인됐다. 다만 해킹의 배후에 중국 해커집단이 있다는 추정에 대해 당국과 SK텔레콤은 수사 중인 사안이라며 말을 아꼈다.