SK텔레콤이 3년이 지나서야 해킹 공격을 받은 사실을 인지한 것으로 나타났다. 장기간 해킹 공격을 받으면서 사실상 가입자 전원의 유심(USIM) 정보가 유출된 정황이 확인됐고, 해킹된 서버의 범위도 조사를 거듭하면서 넓어지고 있다.
과학기술정보통신부는 19일 정부서울청사에서 SK텔레콤 해킹 사건 관련 민관합동조사단의 2차 조사 결과를 발표했다. 조사단은 해킹 공격을 받은 정황이 있는 서버는 추가로 18대가 식별되면서 현재까지 총 23대로 파악됐다고 밝혔다. 총 23대 중 현재까지 15대는 정밀 분석을 완료했고 8대는 이달 말까지 완료할 예정이고 했다.
특히 분석이 완료된 15대 중 개인정보 등을 저장하는 2대는 통합고객인증 서버와 연동되는 서버인 것으로 나타났다. 여기에는 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 다수의 개인정보가 있었다고 조사단은 설명했다.
앞서 조사단은 조사 초기에 IMEI가 저장된 38대 서버의 악성코드 여부를 집중 점검한 뒤 감염되지 않았다는 내용의 1차 조사 결과를 발표한 바 있다. 그런데 악성코드가 감염된 서버에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있음을 확인했다고 전했다.
또한 서버 감염에 쓰인 악성코드의 경우 기존 8종 외 BPF도어 계열 12종과 웹셸 1종을 추가로 발견했다. 이런 과정에서 조사단은 해당 서버의 저장된 파일에 총 29만1831건의 IMEI가 포함된 사실을 확인했다.
조사단은 2차에 걸쳐서 정밀 조사를 한 결과, 악성코드가 최초 설치된 시점은 2022년 6월15일부터였다. 그로부터 지난해 12월2일까지는 로그기록이 남아있지 않아 자료 유출 여부가 확인되지 않았고, 2024년 12월3일부터 2025년 4월24일까지 방화벽 로그기록이 남아있는 기간에는 자료유출이 없었다고 밝혔다.
이로써 SK텔레콤이 해킹 공격을 인식한 시점은 최초 공격 이후 3년 가까이 지난 올해 4월 정부당국에 신고한 무렵인 것으로 확인됐다. 최우혁 과기정통부 정보보호네트워크정책관은 "SK는 해킹 사고 이후에 인지를 했다"고 말했다.
다만 조사단은 이번 해킹으로 인한 복제폰이 나타날 가능성은 낮다며 지나친 불안감 조성을 경계했다. 조사단에 따르면 중앙행정기관·지방자치단체·공공기관은 국가정보원 주관으로 점검을 진행 중이며 현재까지 민간·공공 분야 모두 신고된 피해사례는 없다.
류제명 과기정통부 네트워크정책실장은 "복제폰에 대한 기술적 가능성에 대해 제조사를 통해 확인한 바에 따르면 물리적으로 불가능하다"며 "15자리 IMEI 값만으로는 제조사가 갖고 있는 단말별 인증키 값이 없이는 물리적인 복제가 불가능하다"고 설명했다.
이어 "저희가 상당히 높은 수준의 경계 상태를 유지해왔고 그동안 피해가 발생하지 않았다"며 "우려를 안해도 되는 정도의 기술적 완성도를 갖고 있다"고 말했다.
그러면서도 조사단은 개인정보 등이 유출될 가능성과 국민 피해를 예방할 수 있는 추가 조치를 강구하라고 SK텔레콤에 요구했다.
류 실장은 "이번 해킹이 상업적, 경제적인 목적으로 특정 데이터베이스를 타깃으로 탈취하고 다크웹 같은 곳에서 거래를 시도하는 양상과 다르다"며 "발견된 서버들에 들어온 목적이 과연 뭘까, 이런 것들도 지금 면밀하게 보고 있다"고 전했다.
SK텔레콤 가입자 상대의 위약금 면제와 관련해선 "조사단의 작업 결과를 종합해서 약관 해석을 어떻게 하는 것이 합당한지 판단을 그때 하겠다는 입장에 아직 변함이 없고, 그 부분에 대해서는 정확하고 엄정하게 판단할 계획"이라고 했다.
앞서 조사단은 지난달 말 1차 조사결과에서 유출된 유심정보의 규모가 9.82GB이며, 가입자 식별키(IMSI) 기준 2695만7749건임을 확인한 바 있다.
