SK텔레콤 유심(USIM·가입자 식별 모듈) 정보 해킹 사건에서 사실상 전 가입자에 해당하는 유심 정보가 유출된 것으로 확인됐다. 단말기 고유식별번호(IMEI) 등 민감한 정보를 저장한 서버가 공격받은 사실도 추가로 확인됐다.

 

SKT 해킹 사고를 조사 중인 과학기술정보통신부·한국인터넷진흥원(KISA) 등 민관합동조사단(조사단)은 19일 2차 조사결과 발표에서 악성코드는 25종, 악성코드에 감염된 서버는 총 23대를 확인했다고 19일 밝혔다. 1차 조사 당시 악성코드 4종, 감염 서버 5대였던 것과 비교하면 크게 늘었다. 유출된 유심 정보는 가입자 식별번호(IMSI) 기준 2695만 7749건이다. 2500만 명(알뜰폰 이용자 포함) 수준인 SKT 전체 가입자 수보다 많다. 스마트폰 이외에 스마트워치, 태블릿PC 등 각종 단말기에 탑재된 유심과 일시중지된 유심 정보까지 포함한 수치여서다.

조사단은 29만 1831건의 IMEI를 포함해 이름, 생년월일, 전화번호, e메일 등 민감한 개인정보가 유출됐을 가능성이 있다고 밝혔다. 추가 조사 과정에서 악성코드에 감염된 서버들 중 이런 정보를 임시 보관하는 서버 2대를 확인하면서다. 다만 이 서버에서 실제 정보가 유출됐는지는 알 수 없다. 지난해 12월부터 지난달까지는 기록(로그)이 남아있어 유출이 없었던 것으로 확인됐다. 그러나 이 서버에 악성코드가 처음 설치된 시점인 2022년 6월부터 지난해 12월까지 약 2년 반동안은 기록이 없어 정보 유출 여부를 확인할 수 없었다. 개인정보보호법에 따르면 기간통신사업자는 2년 이상의 개인정보가 담긴 기록을 보관해야 한다. 다만 문제의 서버는 임시 저장 역할을 하는 서버라 이 같은 의무가 적용되는지에 대해선 개인정보보호위원회의 추가 조사가 필요하다.

 
지난 11일 해당 서버에서 정보 유출 가능성을 확인한 과기정통부는 SKT로 하여금 유출 가능성을 확인하고 피해를 예방할 수 있는 조치를 강구하도록 요구했다. 또 개인정보보호위원회에도 개인정보가 유출됐을 수 있다는 사실을 지난 13일 통보했다.


1차 조사 때보다 실제 해킹 피해 규모가 늘면서 개인정보 유출 가능성은 더 커졌다. SKT는 현재까지 개인정보 유출이 없었다고 부인하고 있다. 하지만, 로그가 남지 않은 기간 동안 정보가 유출 됐을 가능성이 있기 때문에 가입자들 불안은 커지고 있다.

다만 최악의 경우로 거론되는 ‘복제폰’을 만드는 이른바 '심스와핑' 범죄 가능성은 여전히 낮다는 게 정부와 SKT의 설명이다. 류제명 과기정통부 네트워크정책실장은 “제조사나 사업자(통신사) 판단으로 볼 때 복제폰은 물리적으로 불가능하고, 만에 하나 만들어졌어도 네트워크에 접속하는 게 완벽하게 차단되므로 과도하게 불안해하지 않았으면 한다”고 말했다. 류정환 SKT 네트워크인프라센터장도 이날 SKT 일일브리핑에서 “복제폰은 사실상 불가능하고, 고도화된 FDS(비정상 인증 차단 시스템)를 통해 망에서 차단하고 있다”며 “SK텔레콤이 보유한 망 운용 데이터, 고객 관련 데이터, 경찰청 데이터 등을 가지고 종합적으로 판단한 결과 유출은 확인되지 않았다”고 설명했다. SKT 측은 “IMEI 외에도 제조사만 보유한 인증값이 별도로 있기 때문에, 설령 IMEI가 유출됐더라도 제조사의 인증을 뚫을 수 없다”고 덧붙였다.

 
그렇다고 해도 전문가들은 IMEI 유출 가능성에 대비해 유심을 교체할 필요가 있다고 말했다. 소프트웨어 방식의 이심(eSIM·내장형 가입자 식별 모듈)이 가능한 단말이면 이심으로 바꾸는 것도 방법이다. 김용대 KAIST 전기 및 전자공학부교수는 “IMEI 유출이 실제로 이뤄졌다면 유심보호서비스는 우회가 가능하기에, 유출됐을 가능성이 있는 IMEI 29만건에 해당하는 고객들에 대해서는 우선적으로 유심 교체를 진행하는 게 필요하다”고 말했다.

 

이번 발표는 지난달 29일 조사단이 공개한 1차 조사 결과와 차이가 있다. 당시 조사단은 서버 5대를 우선 조사한 결과, 유출된 정보는 전화번호·IMSI 등 유심 복제에 활용될 수 있는 4종과 유심 정보 처리 등에 필요한 SKT 관리용 정보 21종이라고 밝혔고, IMEI의 유출은 없는 것으로 확인했다. 조사 결과가 달라진 이유에 대해 조사단은 “1차 조사 당시엔 IMEI를 담고 있는 서버 38대의 악성코드 여부를 집중적으로 점검해 감염되지 않았음을 확인하고 결과를 발표했다”며 “이후 서버 3만대를 전수 조사하는 과정에서 IMEI를 임시 저장하는 서버의 악성코드 감염이 추가로 확인됐다”고 말했다.

 

SKT 책임론이 더욱 커질 가능성이 있다. 2022년 6월 악성코드가 심어졌는데, 3년 간 인지하지 못했기 때문이다. 류정환 SKT 센터장은  이에 대해 “죄송하다”고 답했다. 이어 “침해를 잡기는 상당히 어려운 일이다”며 “어렵지만 백신을 설치하거나, EDR(스마트폰 등 단말기에서 해킹이나 악성코드 같은 보안 위협을 실시간으로 탐지하고 대응하는 기술)등을 적용하겠다”고 부연했다.

조사단은 현재까지 드러난 총 23대 감염 서버 중 15대에 대한 정밀 분석을 완료했다. 다음달 말까지 남은 8대에 대한 점검을 진행하고 최종 조사 결과를 발표할 예정이다. 조사 진척 상황에 따라 추가로 악성코드가 나올 수도 있다. 류제명 과기정통부 실장은 “SKT에는 만에 하나 피해가 발생할 때를 대비해 보상책을 확실히 마련하라고 요구했다”고 말했다. 개인정보보호위원회도 이날 SKT 개인정보 유출사고의 심각성을 인식하고 '집중조사 태스크포스(TF)'를 구성해 조사 중이다.