SK텔레콤 유심 해킹 사건을 조사 중인 민관 합동 조사단이 단말기 고유식별번호(IMEI)와 개인정보를 저장하는 서버가 공격을 받은 정확을 확인했다.

민관합동조사단이 지난달 1차 발표에 이어 지금까지의 조사결과에 대한 2차 발표내용에 따르면 현재까지 총 23대의 감염서버와 악성코드 총 25종이 확인돼 조치됐다. 악성코드 4종과 감염서버 5대를 확인한 1차 조사에 이어 악성코드 21종, 감염서버 18대가 추가된 것이다.

합동조사단은 1단계로 초기 발견된 BPFDoor 감염 여부 확인을 위한 리눅스 서버를 집중 점검한 후 2단계로 BPFDoor와 타 악성코드 감염 여부 확인을 위해 리눅스 포함 모든 서버로 점검 대상 확대한다는 계획 아래 조사를 진행하고 있다. 이번 2차 발표는 지금까지 4차례 점검이 실시된 1단계 결과를 정리한 것이다. 

19일 기준으로 합동조사단은 총 23대의 서버 감염을 확인했으며 15대에 대한 디지털 자료 복원(포렌식) 등 정밀분석을 완료했다.

현재 잔여 8대에 대한 분석을 진행함과 동시에 타 악성코드에 대해서도 탐지·제거를 위한 5차 점검을 진행 중으로, 지금까지 발견·조치된 악성코드는 25종(BPFDoor계열 24종, 웹셸 1종)이다. 

1차 발표 이후 공격을 받은 정황이 있는 서버는 추가로 18대가 식별됐다. 이들 23대 정보유출 확인 서버 중 15대에 대해서는 정밀 분석이 완료됐다.

15대 서버 가운데 2대는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등의 개인정보가 포함된 시스템이다. 

합동조사단은 9.82GB 규모의 정보유출을 확인했는데, 가입자식별키(IMSI) 기준으로는 총 2695만7749건의 정보가 유출된 것이다. 

또 해당 서버에는 총 29만1831건의 단말기 고유식별번호(IMEI)가 저장됐지만, 정밀 조사에서는 방화벽 로그 기록이 남아있는 기간(2024년 12월3일∼2025년 4월24일)에는 자료유출이 발견되지 않았다.

최초 악성코드가 설치된 시점부터 로그 기록이 남아있지 않은 기간(2022년 6월 15일∼2024년 12월 2일)에는 유출 여부가 아직 확인되지 않은 상태다. 

IMEI 유출 가능성으로 유심보호서비스의 한계가 지적되자 SK텔레콤도 비정상 인증차단시스템(FDS)을 가장 높은 단계로 격상해 운영한다는 대안을 내놨다.

SK텔레콤은 19일 일일 브리핑 자리를 통해 “FDS를 불법유심 탐지 뿐 아니라 단말의 모든 동작 상에서 전방위적 불법·이상 여부를 탐지하는 기능으로 고도화한 것”이라 설명하며 “네트워크 차원에서 이뤄지는 고객 정보 보호조치의 완성형”이라고 강조했다.

과기정통부는 다른 통신사와 주요 플랫폼을 대상으로 한 유사 사고를 막기 위해 ‘통신사·플랫폼 보안점검 전담조직(TF)’을 운영하고 있다. 중앙행정기관, 지자체, 공공기관이 국정원 주관으로 보안 점검을 진행 중으로 현재까지 민간, 공공 분야 모두에서 신고된 피해사례는 보고되지 않고 있다.