SK텔레콤(SKT)이 외부로부터 해킹 공격을 받아 이용자의 '유심(USIM·가입자식별모듈) 정보'가 유출된 사고와 관련해 유출된 유심정보의 규모가 9.82GB이며, 가입자 식별키(IMSI) 기준 2695만7749건임이 확인됐다.
특히 해커가 최초로 악성코드가 설치된 시점이 2022년 6월 15일로 특정됐으며, 이후부터 2024년 12월 2일까지 해커가 남긴 로그기록이 없는 기간에 자료 유출 여부가 현재까지는 확인되지 않은 것으로 파악됐다. 이에 핵심 정보 유출 가능성도 배재할 수 없다는 지적이 나온다.
과학기술정보통신부(장관 유상임, 아래 과기정통부)·한국인터넷진흥원(KISA) 등으로 구성된 'SKT 침해사고 민관합동조사단'(아래 조사단)은 19일 오전 11시 서울시 종로구 정부서울청사에서 2차 조사결과 발표를 했다.
발표를 맡은 최우혁 과기정통부 정보보호네트워크정책관은 "19일 현재 총 23대의 서버 감염을 확인하여 15대에 대한 포렌식 등 정밀분석을 완료하고, 잔여 8대에 대한 분석을 진행함과 동시에 타 악성코드에 대해서도 탐지 및 제거를 위한 5차 점검을 진행하고 있다"면서 "현재까지 악성코드는 25종(BPFDoor계열 24종 + 웹셸 1종)을 발견⋅조치했다"고 밝혔다.
최 정책관에 따르면, 앞서 조사단은 1단계로 초기 발견된 BPFDoor 감염 여부 확인을 위한 리눅스 서버 집중 점검했고, 2단계로 BPFDoor 및 타 악성코드 감염 여부 확인을 위해 리눅스 포함 모든 서버로 점검 대상을 확대하는 방식으로 조사를 진행하고 있다. 현재까지 SKT의 리눅스 서버 약 3만여 대에 대해 4차례에 걸친 점검을 진행헀다.
이번 4차 점검에서는 국내외 알려진 BPFDoor 악성코드 변종 202종을 모두 탐지할 수 있는 툴을 적용했다. 이전 1∼3차 점검은 SKT가 자체 점검 후 조사단이 이를 검증하는 방식으로 진행했으며, 4차 점검은 조사단이 한국인터넷진흥원(KISA)의 인력을 지원 받아 직접 조사를 진행했다고 한다.
최 정책관은 "4차례에 걸친 강도 높은 조사는 1차 점검에서 확인한 BPFDoor 계열 악성코드의 특성(은닉성, 내부까지 깊숙이 침투할 가능성 등)을 감안하여 다른 서버에 대한 공격이 있었을 가능성을 확인하기 위한 목적이었다"면서 "1차 조사결과에서 발표한, 유출된 유심정보의 규모가 9.82GB이며, 가입자 식별키(IMSI) 기준 2695만7749건임을 확인했다"고 설명했다.
앞서 조사단은 지난달 29일 1차 조사결과로 ▲공격 받은 정황이 있는 5대 서버 조사, USIM 정보(전화번호, IMSI 등) 등 25종 유출 ▲BPFDoor 계열 악성코드 4종 발견 및 피해확산 방지를 위해 기관⋅기업 공유 ▲단말기 고유식별번호(IMEI) 유출은 없었다고 발표한 바 있다.
최 정책관은 "악성코드는 1차 공지(4월 25일)한 4종, 2차 공지(5월 3일)한 8종 외 BPFDoor 계열 12종과 웹셸 1종을 추가로 확인했다"면서 "1차(4월 25일), 2차(5월 3일)는 악성코드 특성 정보, 3차(5월 12일)에는 국내외 알려진 BPFDoor 계열 모두를 탐지할 수 있는 툴의 제작방법을 6110개 행정부처, 공공기관, 기업 등에 안내하여 피해 확산을 방지하고자 했다"고 부연했다.
