SKT 유심·개인정보 유출 가능성…“3년 전 악성코드 설치, 국가안보 수준 대응 필요”
민관 조사단 “총 2천600만명 정보 노출 가능…23대 서버 감염, IMEI 포함 정밀 포렌식 진행 중”
(서울= 코인사이츠) 이 한 기자 = SK텔레콤이 지난 3년간 해커에 의해 지속적인 해킹 공격을 받아, 가입자 유심(USIM) 정보와 단말기 고유식별번호(IMEI), 이름·생년월일 등 개인정보까지 유출됐을 가능성이 제기됐다.
19일 정부서울청사에서 열린 민관 합동 조사단의 2차 중간조사 결과에 따르면, SK텔레콤은 2022년 6월 15일부터 악성코드 공격을 받은 것으로 확인됐으며, 1차 조사 당시 감염이 확인된 서버 5대 외에 추가로 18대의 서버에서 악성코드가 발견됐다. 이로써 총 23대의 서버가 해커의 공격을 받은 것으로 나타났다.
특히 이 중 2대는 고객의 이름, 생년월일, 전화번호, 이메일 등 개인정보가 일정 기간 임시로 저장되는 서버로 밝혀졌고, 또 다른 2대의 서버에는 단말기 고유식별번호(IMEI)까지 저장된 것으로 확인됐다. 해당 정보는 금융 사기, 단말기 복제 등 2차 피해로 이어질 가능성이 있는 민감한 자료다.
조사단은 “지난해 12월 3일부터 올해 4월 24일까지의 방화벽 로그 기록에서는 유출 흔적이 없었다”면서도, “로그가 존재하지 않는 2022년 6월부터 2023년 12월 2일 사이의 유출 여부는 확인이 어렵다”고 밝혔다.
유심 정보의 유출 규모도 방대하다. 1차 조사에서만 9.82GB 분량, 약 2,695만 건의 IMSI(가입자 식별번호)가 포함된 것으로 확인됐으며, 이는 SK텔레콤 이용자와 알뜰폰 사용자를 포함한 전 가입자 규모에 해당하는 수준이다.
해킹에 사용된 악성코드는 중국계 해커 조직이 주로 사용하는 BPFDoor 방식과 신종 웹쉘(Webshell) 수법이 포함된 것으로 조사됐으며, 총 25종의 악성코드가 발견됐다. 감염 경로로 확인된 서버 중에는 홈가입자서버(HSS) 외에도 고객 인증 시스템과 연동된 서버들도 포함되어 있었다.
조사단은 현재까지 리눅스 서버 3만 대를 점검 완료했으며, 다음 달 말까지 윈도우 서버 및 기타 장비까지 점검을 확대할 계획이다. 민간뿐 아니라 공공기관 대상 보안 점검도 국가정보원을 중심으로 진행되고 있다.
정부는 SK텔레콤에 자체적인 자료 유출 여부 확인과 이용자 피해 방지 조치를 요구했으며, 개인정보보호위원회와도 해당 정보를 공유해 정밀 조사를 진행 중이다. 조사단은 이 사안이 단순 기업 차원을 넘어 국가 안보와 직결된 사안으로 보고, “통신 인프라 전반에 대한 점검 및 제도 개선이 필요하다”고 강조했다.
이번 사건은 대한민국 전체 통신망의 보안 취약성을 드러내는 신호탄으로, 향후 정부와 기업의 협력을 통한 디지털 안보 체계 강화가 중요한 과제로 떠올랐다.
