SKT, 3년이나 악성코드 감염…로그기록은 5개월만 남아

민관합동조사단 2차 조사결과 발표…IMEI 임시보관 서버도 감염
“최악의 경우 복제폰이 만들어졌다고 하더라도 FDS로 무력화돼”

김종우 기자 kjongwoo@busan.com ｜ 2025-05-19 13:07:03

가

최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 서울 종로구 정부서울청사에서 SK텔레콤 개인정보 침해사고 관련 민관합동 조사결과 2차 발표 브리핑을 하고 있다. 연합뉴스

SK텔레콤 해킹 사고와 관련, 악성코드가 최초로 설치된 시점이 2022년 6월인 것으로 드러났다. SK텔레콤은 이를 3년 동안 인지하지 못했지만 현재 남은 ‘로그기록’이 5개월 정도 밖에 없어 대부분의 기간에 대해선 정보 유출 여부를 확인할 수 없는 상태다. 악성코드 감염이 확인된 서버에는 가입자 이름과 생년월일 등 개인정보가 암호화되지 않은 상태에서 저장돼 있었던 것으로 확인됐다.

SK텔레콤 해킹 사건을 조사 중인 민관합동조사단은 19일 2차 조사결과 발표에서 해커가 악성코드를 심은 시점을 2022년 6월 15일로 특정했다. 이는 최초에 감염 목적으로 침투한 ‘웹쉘’(Web shell)의 설치 시점을 기준으로 판단한 결과다. 웹쉘은 클라이언트의 명령을 서버에서 실행시키는 프로그램으로, 개인정보 유출 등 사고에서 빈번하게 발견된다. 최우혁 과기정통부 정보보호네트워크정책관은 브리핑에서 “최초 (악성코드) 설치 지점이 (2022년) 6월 15일인데 SK텔레콤이 인지한 것은 (2025년 4월 해킹) 사고 이후”라고 설명했다.

SK텔레콤 서버가 3년이라는 긴 시간 동안 악성코드에 감염됐던 사실을 감안하면 피해 규모는 앞으로 더 커질 수 있다는 지적이 나온다. 실제로 이번 2차 조사결과 발표에서는 악성코드 감염 서버가 18대 늘어나 총 23대가 됐다. 이 가운데 15대는 포렌식 등 정밀 분석이 끝났지만 나머지 8대에 대해서는 분석이 진행 중이다.

감염이 확인된 서버 가운데 2대는 개인정보를 일정 기간 임시로 관리되는 서버로 밝혀져 논란이 커졌다. 이 서버에 저장됐던 개인정보는 이름, 생년월일, 전화번호, 이메일 등이다. 조사단은 이들 정보의 ‘암호화’ 여부에 대해 “임시저장돼 있던 (정보는 암호문이 아닌) 평문으로 돼 있었다”고 밝혔다.

악성코드에 감염된 서버에는 가입자의 단말기 식별번호(IMEI)도 저장돼 있었던 것으로 드러나 ‘복제폰’ 우려도 커졌다. IMEI가 이미 유출된 유심(USIM) 정보 등과 결합하면 복제폰이 만들어질 수 있다. 조사단은 “악성코드가 감염된 서버들에 대한 정밀 분석 과정에서 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있음을 확인하게 됐다”고 밝혔다. 해당 서버에 저장된 파일에 총 29만 1831건의 IMEI가 포함됐다는 게 조사단의 설명이다.

조사단은 IMEI 정보에 대해 “방화벽 로그기록이 남아있는 기간(2024년 12월 3일∼2025년 4월 24일)에는 자료유출이 없었다”면서도 “최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(2022년 6월 15일∼2024년 12월 2일)의 자료 유출 여부가 현재까지 확인되지 않았다”고 밝혔다.

개인정보보호법에서는 개인정보를 저장하는 서버에 대해 2년 치 로그기록을 보관하도록 하고 있다. 그러나 이번에 감염이 확인된 서버는 개인정보보호법이 적용되지 않았다. 이에 대해 조사단은 “이 서버는 그런(개인정보 저장) 목적으로 쓰인 게 아니라 데이터베이스에서 요청을 받아서 처리하는 목적이다 보니 그 법(개인정보보호법)이 적용이 안 돼 있었다”고 밝혔다.

조사단은 지난달 29일 1차 조사결과 발표 당시에는 IMEI 정보 유출이 없다고 발표한 바 있다. 그러나 2차 결과 발표에서 곧바로 입장을 바꾸면서 SK텔레콤 가입자들의 혼선을 키웠다는 지적이 나온다. 조사단은 이에 대해 “1차 (조사결과를) 발표했던 시점은 조사단이 구성된 지 6일 만이었다”면서 “IMEI 정보를 보관하고 있는 서버들은 공격받은 흔적이 없고 (정보가) 유출되지 않았다는 것은 확인하고 발표해서 광범위하게 확산됐던 (복제폰) 우려를 해소하자는 목적이었다”고 해명했다.

조사단은 만약 IMEI 정보가 유출돼도 복제폰은 “원칙적으로 불가능하다”고 해명했다. 류제명 과기정통부 네트워크정책실장은 브리핑에서 “IMEI 값은 열다섯 자리의 숫자 조합인데 그 숫자 조합만 가지고는 복제품, 쌍둥이 폰은 원천적으로 불가능하다는 것이 제조사들의 해석”이라면서 “단말기와 숫자를 인증하는 인증키 값을 제조사들이 갖고 있기 때문”이라고 설명했다. 조사단은 “최악의 경우 복제폰이 만들어졌다고 하더라도 통신사의 부정가입 접속방지시스템, 이른바 FDS를 통해 복제폰이 무력화된다”고 강조했다.