과기부, SKT 2차 조사결과…“고유식별번호 유출 불투명”

▲해커가 유심(USIM)을 이용해 개인정보를 불법 복제하는 모습을 챗GPT로 형상화한 이미지. 사진=챗GPT

과학기술정보통신부가 SK텔레콤의 유심(USIM·가입자식별모듈) 정보 유출 사고와 관련해 13종의 악성코드를 추가 발견해 조치했다고 19일 밝혔다.

유출된 정보로 유심을 복제해 금융 범죄 등에 악용하는 '심 스와핑'에 악용될 우려가 큰 것으로 알려졌던 단말기 고유식별번호(IMEI)에 대한 유출은 없었다고 재차 밝혔지만, 일부는 로그 기록이 없어 유출 여부는 사실상 불투명한 상황이다.

과기정통부는 이날 민관합동조사단 2차 조사결과 발표를 통해 BPF도어 계열 24종·웹셸 1종 등 총 25종을 발견·조치했다고 밝혔다. 1차 조사 결과보다 BPF도어 계열 12종·웹셸 1종 등 13종의 악성코드가 추가 확인됐다.

조사단은 지난 8일부터 14일까지 1주일 동안 SKT의 리눅스 서버 약 3만여대를 4차례에 걸쳐 조사했다고 설명했다. 이 중 해커의 공격을 받은 정황이 있는 총 23대의 서버 감염을 확인, 15대에 대한 포렌식 등 정밀분석을 완료했다. 나머지 8대에 대한 정밀분석은 이달 말까지 진행할 방침이다. 특히 4차 점검은 BPF도어 계열 악성코드 변종 202종을 모두 탐지할 수 있는 툴을 적용했다고 설명했다.

분석이 완료된 15대 중 2대는 개인정보와 IMEI 등을 저장하는 서버로 밝혀졌다. 해당 서버는 통합고객인증 서버와 연동되는 서버들로, 총 29만1831건의 IMEI와 다수의 개인정보(이름·생년월일·전화번호·이메일 등)가 담겨 있었던 것으로 확인됐다.

다만 방화벽 로그기록이 남아 있는 지난해 12월 3일부터 지난달 24일까지 자료 유출은 없었다. 하지만, 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간인 2022년 6월 15일부터 2024년 12월 2일의 자료 유출 여부는 현재까지 확인되지 않았다.

아울러 사고 이후 민간 기업 6110여곳과 정부 부처 등지에 BPF도어 계열 악성코드를 모두를 탐지할 수 있는 툴의 제작법을 안내하는 등 후속 조치했다고 밝혔다. 유상임 과기정통부 장관과 통신 3사·플랫폼 4개사 등으로 구성된 보안점검 태스크포스(TF)를 12일부터 운영, 일단위 또는 주단위로 보안 상황에 대한 점검 결과를 확인 중이라고 덧붙였다.

중앙행정기관, 지자체, 공공기관은 국정원 주관으로 점검을 진행 중으로 현재까지 민간·공공 분야 모두 신고된 피해사례는 없다.

한편, 1차 조사 결과 당시 발표한 유출된 유심 정보의 규모는 9.82GB며, 가입자 식별키(IMSI) 기준 2695만7749건임이 확인됐다.

이태민 기자 etm@ekn.kr