SBS Biz

지난 4월, 사상 초유의 SKT 해킹사태로 가입자의 전화번호와 식별번호(IMSI) 등 모두 25종의 유심정보가 유출된 것으로 나타났습니다.

SKT 해킹 사태 민관합동조사단은 오늘(4일) 오후 이같은 내용의 최종 조사결과를 발표했습니다.

조사단은 지난 4월부터 지난달 말까지 SKT의 전체 서버 4만2천605대를 대상으로 조사를 시행한 결과, 28대의 서버 감염과 악성코드 33종을 확인했다고 밝혔습니다.

유출된 정보는 전화번호와 가입자 식별번호(IMSI) 등 유심정보 25종으로, 유출 규모는 9.82GB, IMSI 기준 약 2천696만건으로 나타났습니다.

조사단은 감염서버 중 단말기식별번호(IMEI)와 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견하였으나, 정밀 분석 결과 방화벽 로그기록이 남아있는 기간(IMEI : ‘24.12.3~’25.4.24, CDR : ‘24.12.9~ ’25.4.20)에는 자료유출 정황이 없었다고 밝혔습니다.

다만, 악성코드 감염시점부터 로그기록이 없는 기간(IMEI : ‘22.6.15~’24.12.2, CDR : ‘23.1.31.~ ’24.12.8.)에는 유출여부를 확인하는 것이 불가능했다고 밝히면서, 이 기간 유출 여부에 대한 우려는 해소하지 못했습니다.  

조사단은 이번 해킹사태와 관련해 ①계정정보 관리 부실, ②과거 침해사고 대응 미흡, ③주요 정보 암호화 조치 미흡 등 세 가지 문제점을 지적했습니다.

우선, SK텔레콤은 서버 로그인 ID, 비밀번호를 안전하게 관리해야 하나 이번 침해사고에서 감염이 확인된 HSS 관리서버(‘21.12.24, 12.30 감염) 계정정보를 타 서버에 평문으로 저장하였고, 조사단은 공격자가 동 계정정보를 활용해 HSS 관리서버 및 HSS를 감염시킨 것을 확인했습니다.

두번째로 SK텔레콤은 ‘22.2.23일 특정 서버에서 비정상 재부팅이 발생함에 따라 해당 서버 및 연계된 서버들을 점검하는 과정에서 악성코드에 감염된 서버를 발견하여 조치하였으나, 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따른 신고 의무를 이행하지 않았습니다.

더불어 당시 점검 과정에서 SK텔레콤은 이번 침해사고에서 감염이 확인된 HSS 관리서버(‘21.12.24, 12.30 감염)에 비정상 로그인 시도가 있었던 정황도 발견하여 점검하였으나, 해당 서버에 대한 로그기록 6개 중 1개만 확인하여, 공격자가 서버에 접속한 기록을 확인하지 못했습니다.

이로 인해 HSS 관리서버 및 정보유출이 발생한 HSS에서 BPFDoor 악성코드를 확인하지 못하였으며, 또한 침해사고를 신고하지 않아 정부가 조사를 통해 악성코드를 발견하여 조치하는 것도 이루어질 수 없었습니다.

끝으로  유출 정보 중 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값 암호화를 세계이동통신사업자협회(GSMA)는 권고하고 있으며, 타 통신사들(KT, LGU+)도 암호화하여 저장하고 있으나, SK텔레콤은 암호화하지 않고 저장했습니다. 

이와 관련 과기정통부는 회사 측에 계정 비밀번호 관리 강화와 주요 정보 암호화, 정보보호 거버넌스 강화(CEO 직속), 정보보호 인력·예산 확대 등 재발방지 대책을 주문했습니다. 

과기정통부는 "이달 안에 재발방지 대책에 따른 이행계획을 제출토록 하고 SK텔레콤의 이행(8~10월) 여부를 점검(11~12월)할 계획"이라면서, "이행점검 결과, 보완이 필요한 사항이 발생하는 경우 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획"이라고 말했습니다.