SBS Biz

과학기술정보통신부가 SK텔레콤 해킹 사고 2차 조사 결과 유출된 유심정보 규모는 9GB 이상, 가입자 식별키(IMSI) 기준 2천700만건에 달한다고 발표했습니다.

1차 조사와 동일하게 단말기 고유식별번호(IMEI) 유출은 없는 것으로 확인됐습니다.

민관합동조사단은 다음달까지 SK텔레콤 서버 시스템 전체를 점검한다는 목표하에 초기 발견된 BPF도어 감염 여부 확인을 위한 리눅스 서버 집중 점검, BPF도어·타 악성코드 감염 여부 확인을 위해 리눅스 포함 모든 서버로 점검 대상을 확대하는 방식으로 조사를 진행하고 있습니다.

이번 발표는 현재까지 4차례 점검이 실시된 1단계 결과가 반영됐습니다.

조사단은 오늘(19일)까지 23대의 서버 감염을 확인해 15대에 대한 포렌식 등 정밀분석을 완료하고 나머지 8대에 대한 분석을 진행함과 동시에 타 악성코드에 대해서도 탐지·제거를 위한 5차 점검을 진행하고 있다고 설명했습니다. 

현재까지 악성코드의 경우 25종(BPF도어계열 24종·웹셸 1종)을 발견⋅조치했습니다.

조사단은 현재까지 SK텔레콤 리눅스 서버 3만여대에 대해 4차례에 걸친 점검을 진행했다고 강조했습니다. 

4차례에 걸친 강도 높은 조사는 1차 점검에서 확인한 BPF도어 계열 악성코드의 특성(은닉성 등)을 감안해 다른 서버에 대한 공격이 있었을 가능성을 확인하기 위한 목적이었습니다. 

4차 점검의 경우 국내외 알려진 BPF도어 악성코드 변종 202종을 모두 탐지할 수 있는 툴이 적용됐습니다.

1차에서 3차 점검은 SK텔레콤이 자체 점검 후 조사단이 이를 검증하는 방식으로 진행됐고 4차 점검은 조사단이 한국인터넷진흥원(KISA) 인력을 지원 받아 직접 조사로 이뤄졌습니다.

또 조사단은 1차 조사결과에서 발표한 유출된 유심정보 규모가 9.82GB이며 IMSI 기준 2천695만 7천749건으로 확인됐다고 밝혔습니다.

아울러 악성코드는 지난달 25일 1차 공지한 4종, 지난 3일 2차 공지한 8종 외 BPF도어 계열 12종과 웹셸 1종이 추가로 발견됐다고 설명했습니다.

조사단은 1, 2차는 악성코드 특성 정보, 3차에는 국내외 알려진 BPF도어 계열 모두를 탐지할 수 있는 툴의 제작방법을 6천110개 행정부처, 공공기관, 기업 등에 안내해 피해 확산을 방지하고자 노력했다고 강조했습니다.

과기정통부는 중앙행정기관, 지자체, 공공기관의 경우 국정원 주관으로 점검을 진행 중이며 현재까지 민간, 공공 분야 모두 신고된 피해사례는 없다고 부연했습니다.

또 조사단은 1차 발표 이후 공격을 받은 정황이 있는 서버 18대를 추가 식별했다고 설명했습니다.

현재까지 발견된 23대 가운데 현재까지 15대는 정밀 분석(포렌식, 로그분석)을 완료했으며 8대는 이번달 말까지 분석을 완료할 예정입니다.

조사단은 분석이 완료된 15대 가운데 개인정보 등을 저장하는 2대를 확인하고 어제(18일)까지 2차에 걸쳐 자료 유출 여부에 대해 추가적인 조사를 실시했다고 덧붙였습니다.

해당 서버는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 포함돼 있었습니다.

다만 IMEI 유출은 없던 것으로 확인됐습니다. 

조사단은 조사 초기 IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검해 감염되지 않음을 확인하고 1차 조사 결과를 발표했습니다.

이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있음을 발견했습니다.

조사단은 이 과정에서 해당 서버의 저장된 파일에 29만 1천831건의 IMEI가 포함된 사실을 확인했습니다. 

다만 조사단이 2차에 걸쳐서 정밀 조사를 진행한 결과 방화벽 로그기록이 남아있는 기간(지난해 12월 3일∼지난달 24일)에는 자료 유출이 없었고 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(지난 2022년 6월 15일∼지난해 12월 2일)의 자료 유출 여부도 현재까지는 확인되지 않았습니다.

조사단은 개인정보 등이 저장된 문제의 서버들을 확인한 즉시 사업자에게 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체 확인하고 이로 인한 국민 피해를 예방할 수 있는 조치를 강구하라고 요구했습니다.

또 개인정보의 경우 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라 보고 지난 13일 개인정보위에 개인정보가 포함되어 있다는 사실을 통보하고 사업자 동의를 얻어 지난 16일 조사단에서 확보한 서버자료를 개인정보위에 공유했습니다.