SKT 추가 ‘서버 감염’ 확인 국민 피해 최소화 강구

SKT 민관합동조사단 2차 결과 발표
감염된 서버 23대, 악성코드 25종
단말기 고유식별번호 저장 서버 확인

5월 19일 SK텔레콤 사이버 침해사고 민관합동조사단(이하 조사단)이 2차 조사결과를 발표했다. 조사단은 6월까지 SK텔레콤 서버 시스템 전체를 강도 높게 점검하겠다는 방침이다. 이를 위해 ‘초기 발견된 BPFDoor 감염 여부 확인을 위한 리눅스 서버(1단계)’, ‘BPFDoor 및 타 악성코드 감염 여부 확인을 위한 리눅스 포함 모든 서버(2단계)’ 순으로 점검 대상을 확대하며 조사한다. 이번 2차 발표 내용은 조사단이 현재까지 네 차례 점검한 결과에 해당한다.
1~3차 점검은 SK텔레콤이 자체 점검한 뒤 조사단이 이를 검증하는 방식으로, 4차 점검은 조사단이 한국인터넷진흥원(KISA)의 인력을 지원받아 직접 조사를 진행했다. 조사단은 총 23대의 서버 감염(1차 5대, 2차 18대)을 확인했다. 그중 15대에 대한 디지털 자료 복원(포렌식) 등 정밀분석을 완료하고 나머지 8대에 대한 분석을 진행함과 동시에 타 악성코드 탐지·제거를 위한 5차 점검을 진행 중이다. 악성코드는 25종(1차 4종, 2차 21종)으로 조사됐다.
주목할 점은 정밀분석이 완료된 서버 15대 중 2대에는 단말기 고유식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 개인정보가 저장됐다는 것이다. SK텔레콤 침해사고 이후 고유식별번호 유출 여부에 대한 국민적 관심이 특히 높았다. 복제폰으로 인한 피해 우려 때문이다. 이에 조사단은 고유식별번호가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검해 ‘감염되지 않았음’을 확인했다고 발표한 바 있으나 이후 포렌식 분석 중 ‘연동 서버’에 일정 기간 임시로 저장되는 파일 안에 단말기 고유식별번호 등이 포함돼 있다는 사실이 확인됐다.
조사단이 2차에 걸쳐 정밀조사한 결과 방화벽 접속(로그)기록이 남아 있는 기간(2024년 12월 3일~2025년 4월 24일)에는 자료 유출이 없었다. 하지만 최초 악성코드가 설치된 시점부터 접속 기록이 남아 있지 않은 기간(2022년 6월 15일~2024년 12월 2일)의 자료 유출 여부는 현재까지 확인되지 않았다.
앞서 4월 29일 1차 발표에서는 ▲공격 받은 정황이 있는 5대 서버 조사 ▲유심(USIM) 정보 등 25종 유출 ▲BPFDoor 계열 악성코드 4종 발견 및 피해 확산 방지를 위해 기관·기업 공유 ▲단말기 고유식별번호 유출 없음 등의 조사 결과가 나왔다.
조사단은 정밀분석이 끝나기 전이라도 개인정보 등이 저장된 문제의 서버들을 확인한 즉시 사업자에게 자료 유출 가능성에 대해 자체 확인하고 이로 인한 국민 피해를 예방할 수 있는 조치를 강구하라고 요구했다. 개인정보보호위원회에도 이러한 내용을 통보했으며 사업자 동의를 얻어 조사단에서 확보한 서버자료를 개인정보보호위원회에 공유한 상태다. 앞으로도 조사단은 국민에게 피해가 발생할 수 있는 정황이 발견될 경우 이를 투명하게 공개하고 사업자가 신속히 대응하도록 할 방침이다. 정부 차원의 대응책도 강구해나갈 계획이다.

이근하 기자

(www.korea.kr)