SK텔레콤에서 발생한 대규모 해킹 사태의 피해 범위가 예상보다 훨씬 심각한 것으로 드러났다. 민관합동조사단은 19일 정부서울청사에서 가진 2차 조사 결과 발표에서 SK텔레콤의 리눅스 서버 3만여 대 중 23대가 악성코드에 감염된 사실을 확인했다고 밝혔다. 특히, 이 중 2대의 서버에는 단말기 고유식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 개인정보가 임시 저장돼 있었던 것으로 나타났다.
SK텔레콤은 이번 해킹으로 유심(USIM) 정보 중 핵심인 가입자식별번호(IMSI) 기준으로 2,695만7,749건이 유출된 것으로 파악됐다. 이는 SK텔레콤과 자회사망(MVNO)을 이용하는 전체 이용자 수를 넘어서는 규모로, 사물인터넷(IoT) 단말기까지 포함된 수치로 보인다.
조사단에 따르면 최초 해커의 침입 시점은 2022년 6월 15일로 특정됐으며, 당시부터 지난해 12월 2일까지는 서버 접속 로그가 존재하지 않아 해당 기간 중 개인정보 유출 여부는 확인되지 않았다. 반면, 지난해 12월 3일부터 올해 4월 24일까지의 로그 기록에는 외부 유출 흔적이 없었다고 밝혔다.
특히 이번 조사에서 IMEI가 포함된 29만여 건의 정보가 감염된 서버에서 발견되며, 복제폰 등 보안 위협 우려가 제기되고 있다. IMEI는 휴대전화의 주민등록번호에 해당하는 고유값으로, IMSI와 함께 탈취될 경우 '심스와핑' 등 금융사기에 악용될 수 있다.
다만 과학기술정보통신부는 "IMEI 15자리 숫자만으로는 복제폰 생성이 불가능하며, 제조사 인증키 없이는 네트워크 접속도 차단된다"며 과도한 불안은 경계했다. SK텔레콤은 이상 거래를 탐지하는 FDS 시스템을 고도화하고 있으며, 210만 명 가입자가 유심 교체를 완료한 상태다.
조사단은 현재까지 발견된 악성코드가 25종(BPF도어 계열 24종, 웹셸 1종)에 달한다고 설명했다. 감염 서버 23대 중 15대는 정밀 포렌식 분석이 완료됐고, 나머지 8대는 이달 말까지 분석을 마칠 예정이다.
이번 해킹 사건에서 가장 큰 문제는 개인정보보호법상 의무인 접속기록 보관 기간(2년)을 지키지 않았다는 점이다. 실제로 IMEI와 개인정보가 저장된 서버의 로그가 절반도 채 안 되는 기간만 보존돼 있었으며, 이마저도 암호화 없이 평문으로 저장된 것으로 밝혀졌다.
정부는 SK텔레콤에 유심 교체 등 가입자 보호 조치를 강력히 요구한 한편, 개인정보가 포함된 서버에 대한 정보를 개인정보보호위원회에 통보하고 공동 조사를 요청했다. SK텔레콤은 신규가입 제한 조치를 유지하면서 유심 물량 확보에 주력하고 있는 상황이다.
민관합동조사단은 다음 달까지 SKT 전 서버에 대한 조사를 마무리하고 최종 피해 규모와 유출 경로를 밝힐 계획이다.
