SK텔레콤(SKT)의 리눅스 서버 3만여 대를 점검한 결과, 당초 알려진 것보다 훨씬 넓은 범위에서 악성코드 감염이 확인됐다. 특히 2차 조사 결과에서는 단말기 고유식별번호(IMEI)를 비롯한 민감한 개인정보가 저장된 서버 2대까지 악성코드에 감염됐던 사실이 드러났다. 해당 서버에 저장된 IMEI는 29만 건을 넘으며, 최대 2년간의 로그가 사라져 있어 실제 자료 유출 여부는 확인되지 않고 있다.

SKT 침해사고 민관합동조사단(이하 조사단)은 19일 정부서울청사에서 브리핑을 열고 “SK텔레콤의 전체 리눅스 서버 약 3만여 대를 점검한 결과, 총 23대에서 악성코드 25종이 발견됐다”고 밝혔다. 조사단은 이 가운데 15대에 대한 포렌식 분석을 마쳤으며, 나머지 8대에 대해서는 이달 말까지 분석을 마칠 예정이다.

특히 이번 조사에서는 1차 조사 당시 유출되지 않았다고 발표했던 IMEI가 저장된 서버에서 악성코드 감염이 확인돼, SK텔레콤 해킹 피해의 범위가 초기 발표보다 더 클 수 있다는 우려가 나온다.

앞서 조사단은 4월 29일 발표한 1차 조사 결과에서 “피해가 의심되는 서버는 5대이며, 유출된 정보는 전화번호, IMSI 등 유심 관련 정보에 한정된다”고 밝힌 바 있다. 당시 확인된 악성코드는 BPFDoor 계열 4종에 불과했고, IMEI는 유출되지 않았다고 했었다.

그러나 이번 2차 조사에서 조사단은 IMEI가 저장된 서버 2대가 감염됐고, 이 서버들이 통합고객인증 시스템과 연동돼 있어 다수의 개인정보가 임시 저장된 정황을 포착했다. 해당 서버에는 총 29만 1831건의 IMEI와 함께 이름, 생년월일, 전화번호, 이메일 등이 포함된 것으로 확인됐다.

악성코드는 현재까지 총 25종이 확인됐다. 초기에는 4종(4월 25일 공지), 이후 8종(5월 3일 공지)이 추가됐고, 이번 조사에서 BPFDoor 계열 12종과 웹셸 1종이 새로 발견되면서 수가 늘어났다. 이 중 웹셸은 일반적으로 시스템을 원격 장악하는 데 사용되는 악성코드로, 서버에 외부에서 침투했을 가능성이 높은 정황을 보여준다.

감염된 서버의 방화벽 로그 분석 결과, 지난해 12월 3일부터 올해 4월 24일까지는 외부 유출 흔적이 없었다. 하지만 최초 감염 시점으로 추정되는 2022년 6월 15일부터 약 2년간의 로그는 존재하지 않아, 이 기간 동안 정보가 유출됐는지 여부는 확인되지 않고 있다.

조사단은 악성코드 관련 정보와 탐지 도구를 6110개 정부기관·공공기관·민간 기업에 배포하고 대응 방안을 공유 중이다. 또한 과학기술정보통신부는 통신 3사와 주요 플랫폼 기업들이 참여하는 ‘보안점검 태스크포스(TF)’를 구성해 일일 또는 주간 단위의 점검을 진행하고 있다고 밝혔다.

현재까지 민간·공공부문에서 별도의 2차 피해 사례는 보고되지 않았다. 국가정보원도 공공기관 대상 보안 점검을 별도로 진행 중이다.

조사단은 지난 5월 11일, 개인정보가 저장된 감염 서버가 확인되자마자 SK텔레콤에 해당 사실을 통보하고 즉각적인 대응을 요청했다. 이후 13일에는 개인정보보호위원회에 정식으로 내용을 보고하고, 16일에는 SKT의 동의를 받아 서버 관련 자료를 공유했다.

조사단 관계자는 “앞으로도 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되면 즉시 공개하고, SK텔레콤 등 사업자가 신속히 대응하도록 조치할 것”이라며 “정부 차원에서도 추가 피해 예방에 만전을 기하겠다”고 밝혔다.

[ 경기신문 = 오다경 기자 ]