'SKT 유심 해킹, 2700만건 유출 확인' 정부 '개인정보 유출 가능성' 첫 인정
이름, 생년월일, 전화번호, IMEI. 그리고 2,695만 건의 유심 정보. 2년 전 심어진 백도어 악성코드가 이 모든 걸 조용히 훔쳐갔다. 정부는 1차 조사에서 "문제 없다"고 말했지만 2차 조사는 전혀 다른 결론을 냈다. 과학기술정보통신부는 19일 정부서울청사에서 브리핑을 열고 민관합동조사단의 2차 조사 결과를 발표했다. 조사에 따르면, 감염된 서버는 총 23대로 파악됐으며, BPFDoor 계열 24종과 웹셸 1종 등 총 25종의 악성코드가 확인됐다. 조사단은 특히 가입자 식별키(IMSI) 기준 총 2,695만7,749건의 유심 정보가 유출된 것으로 집계됐다고 밝혔다. 조사단은 1차 발표 당시 "IMEI는 저장된 서버가 감염되지 않았다"고 발표했으나, 이후 정밀 포렌식 과정에서 개인정보가 임시 저장되던 서버 2대가 악성코드에 감염된 사실을 확인했다. 해당 서버에서는 전화번호, 주민등록번호, 단말기 고유식별번호(IMEI) 등 주요 개인정보가 확인됐다. 최우혁 과기정통부 정보보호네트워크정책관은 "해당 서버는 통합고객인증 서버와 연동돼 있으며, 고객 인증을 목적으로 호출된 IMEI와 이름, 생년월일, 전화번호 등 다수의 개인정보가 임시 저장돼 있었다"며, "해당 파일에는 총 29만1,831건의 IMEI가 포함돼 있었다"고 밝혔다. 최초 악성코드 설치 시점은 2022년 6월 15일로 파악됐다. 다만 로그 기록이 남아있는 2023년 12월 3일부터 2024년 4월 24일까지는 유출 흔적이 없었으나, 이전 1년 반가량의 로그는 존재하지 않아 해당 기간 유출 여부는 확인되지 않았다. 류제명 네트워크정책실장은 "기술적으로 로그가 없으면 확인이 불가능한 측면이 있다"면서도 "다크웹 모니터링, 수사기관 협력 등으로 추가 정황을 추적하고 있으며, 피해 확산 방지를 위해 SK텔레콤에 즉시 모든 가능성에 대비한 조치를 요구했다"고 설명했다. 이번 공격에 사용된 BPFDoor는 3년 전 처음 보고된 백도어 프로그램으로, 글로벌 보안업체들은 이를 중국 해커조직 '레드 멘션(Red Menshen)'의 소행으로 분석하고 있다. PwC는 레드 멘션이 대만 라우터를 경유해 통신사들을 공격해왔다고 밝힌 바 있다. 과기정통부는 이번 공격이 단순 보안사고를 넘어 미중 간 사이버 패권 경쟁의 연장선으로 보고 있다. 류제명 실장은 "SK텔레콤 외에도 다른 통신사, 주요 플랫폼, 공공기관의 피해 가능성을 염두에 두고 있으며, 지난 5월 3일 연휴 기간 중에도 장관이 통신 3사 및 플랫폼 기업 보안책임자들과 긴급 점검을 진행했다"고 말했다. 이어 "중앙행정기관과 공공기관에 대해서는 국정원 주관 하에 별도 점검이 진행 중"이라고 덧붙였다. 미국 보안업체 트렌드마이크로는 2024년 7월과 12월 두 차례에 걸쳐 국내 통신사들이 BPF도어 공격을 받았다고 보고했으며, 레드 멘션을 중국의 지능형 지속 공격(APT) 그룹으로 규정했다. 사이버리즌은 해당 그룹이 특정 인물의 통화·위치·행동 패턴 등을 장기 수집해 정밀 추적하는 데 목적이 있다고 분석했다. 이번에 유출된 IMEI 자체는 단독으로 피해를 유발하지는 않지만, IMSI나 인증키 등 다른 정보와 결합될 경우 복제폰을 통한 인증 가로채기 등의 2차 피해로 이어질 수 있다는 우려가 제기된다. 다만 정부는 이러한 가능성에 대해 "현행 FDS(이상 접속 탐지 시스템) 고도화를 통해 기술적으로 무력화 가능하다"고 강조했다. 제조사 또한 "IMEI 번호만으로 복제폰 제작은 불가능하며, 제조사 자체 인증키가 결합되지 않으면 단말 작동은 불가하다"는 입장을 밝혔다. 한편, 이번 사태로 인한 유심 교체 수요 급증에 따라 SK텔레콤은 신규 가입을 일시 중단한 상태다. 이에 대해 정부는 "기존 가입자의 유심 교체 수요가 우선이며, 유심 수급 상황을 종합 고려해 신규 가입 재개 여부를 판단할 예정"이라고 밝혔다. 조사단은 현재까지 23대 서버 중 15대에 대해 포렌식을 완료했으며, 나머지 8대에 대해서도 이달 말까지 분석을 마칠 계획이다. 최 실장은 "이번 사고의 성격상 조사를 최대한 철저히, 그러나 신속하게 마무리하겠다"며, "6월 말까지 전체 조사 완료를 목표로 하고 있다"고 설명했다.
