SK텔레콤(SKT)이 3년 전 첫 해킹이 이뤄졌다고 밝혔다. 해킹으로 가입자 전원의 유심 정보뿐만 아니라 개인정보 관리 서버 또한 악성코드에 감염됐다. 해커가 남긴 기록이 없는 기간 동안 단말기 식별번호(IMEI) 등 핵심 정보 또한 유출됐을 가능성이 있다.
SKT 해킹 사건을 조사 중인 민관 합동 조사단은 19일 정부서울청사에서 이같은 내용을 담은 2차 조사결과를 발표했다. 1차 조사 결과, 악성코드에 감염된 서버 5대 중 홈가입자서버(HSS) 3대에서 가입자 식별번호(IMSI), 인증키 등 유심 정보 4종을 포함한 25종의 정보 유출이 확인됐었는데 2차 조사 결과 감염 서버가 18대 더 발견됐다. 총 23대의 서버가 감염된 셈이다.
특히 감염이 확인된 서버 중 2대는 개인정보가 일시 보관되는 서버다. 1차 조사 당시 가능성이 없다고 판단됐던 개인정보 유출 가능성이 높아진 셈이다. 유출 가능성이 있는 개인 정보는 이름, 생년월일, 전화번호, 이메일 등 통신사 가입시 남기는 정보로 추정된다. 다만 조사단은 이 서버에 저장됐던 정확한 개인정보 종류는 개인정보보호위원회 대상이라고 언급했다.
휴대전화 복제와 금융거래에 악용될 수 있는 IMEI 유출 가능성도 있다. 다만 조사단은 로그 기록이 남아있는 지난해 12월3일부터 지난달 24일까지는 데이터 유출이 없었다고 밝혔다.
문제는 해킹이 처음 이뤄진 2022년 6월 15일부터 지난해 12월 2일까지는 로그 기록이 없다는 점이다. 이 기간동안의 데이터 유출 여부는 확인되지 않았다. 조사단은 해커가 로그 기록을 의도적으로 삭제한 정황은 발견되지 않았다고 밝혔다. 결국 이 기간동안의 정보 유출 여부는 정밀 포렌식을 통해 파악이 가능한 것으로 보인다.
1차 조사에서 파악된 유출 정보 규모는 9.82GB다. IMSI 기준 2695만7749건이다. SKT 가입자와 SKT 회선을 쓰는 알뜰폰 가입자에 사물인터넷 회선 등이 합쳐진 숫자로 추정된다.
현재까지 정보 유출로 인한 피해는 파악되지 않았다. 최우혁 과학기술정보통신부 정보보호네트워크정책관은 “로그가 남아있는 부분에 대해 유출이 되지 않은 것은 분명하고 그 이전 부분에 대해서는 또 다른 추정 근거인 다크웹을 모니터링하고 있는데 확인된 바가 없다”고 밝혔다.
류정환 SKT 네트워크인프라센터장도 이날 오후 일일 브리핑에서 “부인하지 않지만 우리가 가용할 수 있는 모든 데이터를 종합적으로 판단한 결과 유출이 없다고 본다”고 말했다.
권민지 기자 10000g@kmib.co.kr