SK텔레콤 해킹 사건을 조사 중인 민관합동조사단이 최초 악성코드 감염이 3년 전인 2022년 6월 이뤄졌다는 2차 조사 결과를 발표했다. SK텔레콤이 지난 3년간 해킹 사실을 감지하지 못했던 것이다. 또 단말기 고유식별번호(IMEI)와 개인정보를 저장하는 서버가 공격받은 정황도 새로 확인하면서 유출 피해 우려가 더욱 커졌다.
과학기술정보통신부는 19일 정부서울청사에서 브리핑을 열고 이 같은 내용의 2차 조사 결과를 내놨다. 1차 조사에서 악성코드에 감염된 것으로 확인된 서버는 5대로 이 가운데 홈가입자서버(HSS) 3대에서 유심 정보를 포함한 25종의 정보 유출이 확인됐는데, 2차 조사에서 감염 서버가 18대 더 발견됐다. 해킹 공격을 받은 서버가 총 23대로 늘어난 것이다. 유출된 유심 정보는 2695만7749건에 달해 사실상 전체 가입자의 정보가 유출된 것으로 확인됐다. SK텔레콤과 알뜰폰 이용자를 합친 고객이 2500만 명인데 그보다도 더 많은 정보가 유출됐다.
특히 이번에 확인된 서버 중 2대는 개인정보가 일정 기간 임시로 관리되는 서버로 파악됐다. 이에 따라 IMEI를 비롯한 개인정보 유출 가능성이 처음으로 거론됐다. 과기정통부 관계자는 “분석이 완료된 15대 서버 중 개인정보 등을 임시로 저장하는 서버 2대를 확인해 추가 조사를 실시했다”며 “고객 인증을 목적으로 통합고객인증 서버와 연동되는 해당 서버에 IMEI 29만1831건과 이름·생년월일·전화번호·이메일 등 개인정보가 포함된 사실을 확인했다”고 밝혔다.
IMEI가 탈취됐을 경우 휴대전화 복제를 통한 ‘심 스와핑’ 피해로 이어질 수 있다. 다만 조사단은 2차례에 걸친 정밀 조사 결과 방화벽 로그 기록이 남아 있는 지난해 12월 3일부터 지난달 24일까지 데이터 유출이 없었다는 점을 확인했다. 그러나 악성코드가 최초로 설치된 2022년 6월 15일부터 지난해 12월 2일까지의 유출 여부는 확인하지 못했다.
SK텔레콤은 이번 정보 탈취로 인한 복제폰 우려는 과도하다는 입장이다. SK텔레콤 측은 “비정상인증차단시스템(FDS)을 버전 2.0으로 고도화해 복제폰이 SK텔레콤 망에 접속하는 것을 차단하고 있다”고 했다.
장은지 기자 jej@donga.com
About Dong-A Ilbo