과기부 “악성코드 감염서버 23대로 늘었지만, 복제폰 위험 없어”

[이데일리 임유경 기자] SK텔레콤 유심 정보 해킹 사고와 관련해 조사를 진행 중인 민관합동조사단이 현재까지 총 23대의 서버에서 악성코드 25종이 발견됐다고 확인했다. 1차 조사 결과와 비교하면 추가로 18대 서버에서 추가 감염이 확인된 것이다. 추가 감염된 서버 중 2대는 단말기교유식별번호(IMEI)가 임시 저장돼 있었지만, 로그가 남아 있는 작년 12월부터 5개월간은 정보 유출이 이뤄지지 않았다고 조사됐다.

최악의 경우 IMEI 값이 유출됐더라도 제조사가 가지고 있는 단말기 인증키 없이는 복제폰 제작이 물리적으로 불가능하고, 복제폰을 만들었다고 해도 통신사 네트워크에 접속이 차단되기 때문에 지나치게 우려할 필요는 없다는 게 조사단의 입장이다.

과학기술정보통신부는 19일 이 같은 내용이 포함된 SK텔레콤 침해사고 민관합동조사단 2차 조사 결과를 발표했다. 2차 조사 결과 발표에는 SK텔레콤 리눅스 서버 약 3만여 대에 대해 4차례에 걸친 점검을 진행한 결과를 담았다.

최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 정부서울청사에서 SKT 침해사고 관련 민관합동 조사결과 2차 발표 브리핑을 하고 있다.(사진=연합뉴스)

이번 2차 발표에 따르면 조사단은 현재 총 23대의 서버 감염을 확인했다. 악성코드는 25종(BPF도어 계열 24종, 웹셸 1종)을 발견해 조치했다. 1차 발표 때보다 감염 서버는 18대가 늘고, 악성코드는 21종 더 발견된 것이다.

조사단은 총 23대 중 현재까지 15대는 포렌식, 로그분석 등 정밀분석을 완료했으며, 그 결과 2대는 IMEI와 개인정보가 임시 저장됐던 것으로 확인했다. 해당 서버는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 IMEI와 이름, 생년월일, 전화번호, 이메일 등의 개인정보를 임시 저장한다.

조사단은 복제폰 우려를 높이는 IMEI 유출과 관련해 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 총 29만1831건의 IMEI 등이 포함돼 있었지만, 방화벽 로그기록이 남아 있는 기간(2024.12.3.∼2025.4.24.)에는 자료유출이 없었다고 확인했다.

다만, 최초 악성코드가 설치된 시점부터 로그기록이 남아 있지 않은 기간(2022.6.15.∼2024.12.2.)의 자료 유출 여부가 현재까지는 확인되지 않았다.

최악의 경우 IMEI 정보가 유출됐더라도 복제폰 제작 위험성은 낮다고 봤다. 류제명 과기정통부 네트워크정책실장은 “IMEI는 15자리의 숫자 조합인데 단말기 인증키 없이 이 숫자만 가지고 복제폰 제작은 원천적으로 불가능하다고 제조사를 통해 확인했다. 단말기 인증키는 제조사가 가지고 있기 때문에 복제폰 제조가 물리적으로 불가능하다”고 설명했다.

설사 복제폰이 제작됐더라도 통신사 네트워크에서 차단할 수 있기 때문에 동작할 수 없다고도 설명했다. 류 실장은 “SK텔레콤이 비정상 인증 차단 시스템(FDS)을 고도화 시점을 앞당겨 복제폰을 무력화시키는 시스템을 갖췄다”고 말했다. 이어 류 실장은 “그동안의 상당히 높은 수준의 경계 상태를 유지해 왔고 피해가 발생하지 않았다”며 “복제폰에 대한 우려는 국민들이 안 하셔도 되는 정도의 기술적 완성도를 갖추고 있다고 판단한다”고 강조했다.

조사단은 일각에서 우려하는 통화 상세 기록(CDR) 탈취 가능성도 낮다고 봤다. 이동근 KISA디지털위협대응본부장(조사단 부단장)은 “아직까지 CDR 관련 데이터베이스가 해킹 정황은 발견되지 않았으며 IMEI, 개인정보가 발견된 추가 감염서버에서도 통화기록 데이터는 포함되어 있지 않았다”고 설명했다.

해당 서버에서 개인정보가 유출됐을 가능성도 현재 확인되지 않았다. 이 본부장은 “개인정보 유출과 관련해서는 지금 개인정보위에서 면밀하게 살펴보고 있는 부분이다”면서도 “다만, 추가 감염 서버 확인으로 인해 개인정보와 관련한 위험도가 갑자기 확 늘었다거나 관련 징후가 발견된 건 아니다”고 말했다.

이번 조사에서 1차 조사 때 유출된 것으로 확인된 유심 정보의 규모는 9.82GB 분량으로, 가입자 식별키(IMSI) 기준 약 2695만 건으로 확인됐다. 정확한 피해 가입자 수는 개인정보위에서 식별할 예정이다. 이 본부장은 “테스트폰 등 실제 유효하지 않은 번호가 포함되어 있을 수 있다”며 “개인정보위에서 유효성 등을 식별하는 작업이 이뤄질 것이다”고 전했다.

조사단은 총 23대 감염 서버 중 나머지 8대에 대해 포렌식 등 정밀분석을 진행하는 동시에 타 악성코드에 대해서도 탐지 및 제거를 위한 5차 점검을 진행하고 있다. 최종 조사 결과는 6월 이내로 발표할 계획이다.