SK텔레콤 가입자 정보 유출 사건을 수사 중인 정부는 SK텔레콤이 악성코드 25종에 서버 23대가 감염된 것을 확인했다고 19일 밝혔다. 게다가 단말기 고유식별번호(IMEI)가 유출됐을 가능성도 배제할 수 없는 것으로 나타났다.
■ 악성코드 4종→25종.. 감염서버 5대→23대
과학기술정보통신부는 이번 사건 조사를 위해 꾸려진 민관합동조사단이 4차례 점검을 실시한 1단계 조사를 토대로 2차 분석 결과를 이날 발표했다.
앞서 조사단은 가입자 전화번호, 가입자식별키(IMSI) 등 유심(USIM) 복제에 활용될 수 있는 4종과 유심 정보 처리 등에 필요한 SK텔레콤 자체 관리용 정보 21종이 빠져나갔다고 1차 분석 결과를 지난달 29일 발표한 바 있다. 또 서버 5대가 BPF도어 계열의 악성코드 4종에 감염됐다고 밝힌 바 있다.
조사단은 현재까지 SK텔레콤 리눅스 서버 3만여대에 대해 4차례 점검을 진행했다. 1~3차 점검은 SKT가 자체 점검 후 조사단이 이를 검증하는 방식으로 했으며, 4차 점검은 조사단이 한국인터넷진흥원(KISA) 인력을 지원 받아 직접 조사를 벌였다. 특히 4차 점검에서는 BPF도어 악성코드 변종 202종을 모두 탐지할 수 있는 툴을 적용했다.
조사단은 유출된 유심정보 규모가 9.82GB이며 가입자 식별키(IMSI) 기준 2695만7749건임을 재차 확인했다. 아울러 BPF도어 계열 24종, 웹셸 1종 등 총 25종 악성코드에 SK텔레콤 서버 23대가 감염된 것을 파악했다. 웹셸은 웹서버의 업로드 취약점을 파고들어 관리자 권한을 획득해 시스템에 명령을 내릴 수 있는 악성코드다. 조사단은 서버 15대에 대한 포렌식 등 정밀분석을 마치고 나머지 8대에 대해서는 이달 말까지 분석을 끝낼 예정이며 5차 점검도 실시하고 있다.
■ 단말 고유번호도 빠져나갔나.. “확인되지 않아”
조사단은 1차 분석 결과 발표에서 단말 고유번호인 IMEI 유출은 없었다고 발표했으나 이마저도 현재는 장담할 수 없는 상황이 됐다. IMEI도 빠져나갔다면 유심 복제는 물론 복제된 유심으로 휴대전화 주도권을 탈취하는 ‘심스와핑’이 가능하다.
조사단은 “악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 등 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있음을 확인하게 됐다”며 “방화벽 로그기록이 남아있는 기간에는 자료 유출이 없었으며, 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간의 자료 유출 여부는 현재까지 확인되지 않았다”고 밝혔다. IMEI가 유출됐을 가능성도 배제할 수는 없는 셈이다.
조사단은 SK텔레콤에 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체 확인하고 이로 인한 국민 피해를 예방할 수 있는 조치를 강구할 것을 요구했다. 또한 개인정보는 개인정보보보호위원회에서 정밀한 조사가 필요한 사항이라고 보고 개보위에도 개인정보가 포함돼 있다는 사실을 통보하는 한편 사업자 동의를 얻어 조사단에서 확보한 서버자료를 개보위에 공유했다.
조사단은 “앞으로도 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우 이를 투명하게 공개하고 사업자로 하여금 신속히 대응토록 하는 한편 정부 차원의 대응책도 강구할 계획”이라고 전했다.
