최소 3년 전부터 SKT해킹 있었던 것으로 드러나
[인더스트리뉴스 서영길 기자] SK텔레콤에 대한 해킹이 최소 3년 전부터 있어 왔던 것으로 드러났다. 이에 SKT 가입자들의 유심 정보뿐 아니라 개인정보 관리 서버까지 공격받았던 것으로 확인됐다.
SK텔레콤 해킹 사건을 조사 중인 민관 합동 조사단은 19일 정부서울청사에서 이같은 내용이 담긴 2차 조사 결과를 발표했다.
해커가 악성코드를 심은 시점은 2022년 6월 15일로 특정됐고, 해커가 남긴 기록(로그)이 없는 기간에는 단말기 식별번호(IMEI) 등 핵심 정보 유출 가능성도 배제할 수 없게 됐다.
조사 결과에 따르면 해킹에 사용된 악성코드 종류는 총 25종(BPFDoor계열 24종과 웹셸 1종), 감염된 서버는 총 23대로 집계됐다.
감염된 서버 가운데 15대는 포렌식 등 정밀 분석이 끝났지만 나머지 8대에 대해서는 분석이 진행 중이다.
이는 앞서 지난달 29일 발표된 정부의 1차 조사 결과보다 악성코드는 13종, 감염 서버는 18대 증가한 수치다.
특히 2차 조사 결과 감염이 확인된 서버 중 2대는 개인정보가 일정 기간 임시로 관리되는 서버로 밝혀졌다. 1차 조사 결과에서 가능성이 없다고 보였던 개인정보 유출 가능성이 가시화된 셈이다.
감염이 확인된 2대의 서버는 통합고객인증 서버와 연동되는 기기들로 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 개인정보를 저장하고 있었다.
이에 빠져나갔을 수 있는 개인정보는 ▲이름 ▲생년월일 ▲전화번호 ▲이메일 등 휴대전화 가입 시 남기는 정보들로 추정되고 있다.
다만 합동 조사단은 “이 서버에 저장됐던 정확한 개인정보의 종류는 개인정보보호위원회 조사 대상”이라고 설명했다.
결국 탈취됐을 때 휴대전화 복제와 이상 금융거래에 악용될 수 있는 것으로 우려되며 관심을 모았던 IMEI도 유출됐을 가능성이 높아지며 SKT 가입자들의 불안감은 한층 고조될 것으로 예측된다.
합동 조사단은 조사 초기 IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검해 감염되지 않음을 확인했다고 밝힌 바 있다.
이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 총 29만2831건의 IMEI 등이 포함돼 있는 점을 확인한 것이라고 합동 조사단은 설명했다.
합동 조사단은 “2차례에 걸쳐 정밀히 조사한 결과 방화벽에 로그 기록이 남아있는 지난해 12월 3일부터 지난달 24일까지 기간에는 데이터 유출이 없었다”고 밝혔다.
하지만 최초 악성코드가 설치된 시점인 2022년 6월 15일부터 지난해 12월 2일까지 로그 기록이 남지 않은 기간의 유출 여부는 확인하지 못했다.
이에 따라 합동 조사단은 개인정보가 들어 있는 문제의 서버 해킹을 확인한 시점인 지난 11일 SKT 측에 자료 유출 가능성을 자체 확인하고 이용자 피해를 막을 조치를 강구할 것을 요구했다.
합동 조사단은 6월까지 SKT 서버 시스템 전체를 강도높게 점검할 방침이다.
초기 발견된 BPFDoor 감염 여부 확인을 위한 리눅스 서버 집중 점검을 진행한 뒤 다른 악성코드 감염 여부 확인을 위해 리눅스를 포함해 모든 서버로 점검 대상을 확대하는 방식으로 조사가 이어지고 있다. 이번 2차 조사 결과는 4차례 점검을 통해 파악한 내용을 공개한 것이다.
합동 조사단은 현재까지 SKT의 리눅스 서버 3만여 대에 대해 4차례에 걸친 점검에 들어갔다. 4차례에 걸친 강도 높은 조사는 1차 점검에서 확인한 BPFDoor 계열 악성코드의 특성(은닉성, 내부까지 깊숙이 침투할 가능성 등)을 감안해 다른 서버에 대한 공격이 있었을 가능성을 확인하기 위한 목적으로 펼쳐지고 있다.
4차 점검은 국내외 알려진 BPFDoor 악성코드 변종 202종을 모두 탐지할 수 있는 툴을 적용한 것으로 전해졌다.
1∼3차 점검은 SKT가 자체 점검 후 조사단이 이를 검증하는 방식으로 이뤄졌다.
4차 점검은 조사단이 한국인터넷진흥원(KISA)의 인력을 지원받아 직접 조사를 실시했다.
개인정보의 경우 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라 보고 개인정보보호위원회에도 개인정보가 포함돼 있다는 사실을 통보했다. 또 사업자 동의를 얻어 조사단에서 확보한 서버 자료를 개인정보보호위원회에 지난 16일 공유했다.
합동 조사단 측은 “앞으로도 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우 이를 투명하게 공개하고 사업자로 하여금 신속히 대응토록 하는 한편 정부 차원의 대응책도 강구해 나갈 계획”이라고 밝혔다.
