SKT, 해킹 악성코드 21종 추가 확인…"IMEI·개인정보 서버 감염"

[서울경제TV=김혜영기자] SK텔레콤 해킹이 3년 전 시작된 것으로 확인됐다. 단말기고유식별번호(IMEI)와 개인정보가 저장됐던 서버도 악성코드에 감염됐다. 해커가 악성코드를 심은 시점이 2022년 6월 15일로 특정됐다.

SK텔레콤의 개인 정보 유출 사건을 조사 중인 과학기술정보통신부·한국인터넷진흥원(KISA) 등 민관 합동 조사단이 19일 오전 11시 서울 정부청사에서 조사 중간 결과를 발표했다. 이날 발표는 지난달 29일 1차 조사 결과 발표에 이어 두 번째다. 

SK텔레콤 해킹 사고에 대한 2차 민관합동조사 결과, 23대 서버에서 악성코드 25종이 발견됐다. 지난 1차 발표 때보다 악성코드는 21종, 감염서버는 18대 늘어난 수치다. 감염서버 중에는 단말기 고유식별번호(IMEI)와 이름·생년월일·전화번호·이메일 등 개인정보가 포함된 서버 2대도 포함됐으나, 해당 정보의 유출 여부는 확인되지 않았다. 

SKT 리눅스 서버 3만여대를 4차례 점검한 결과, 23대 서버에서 악성코드 25종이 발견됐다. 이 중 15대는 정밀분석을 완료했고 나머지 8대는 이달 말까지 분석을 진행한다. 악성코드도 1차 조사결과에서 공개됐던 BFP도어 계열 4종 외 20종과 웹셸 1종이 발견됐다.

특히, SK텔레콤 서버 23대 중 통합고객인증 서버와 연동되는 서버 2대에 IMEI 및 개인정보 등 저장된 파일이 있었던 것으로 파악됐다. 해당 서버는 저장된 파일에는 고객 인증을 목적으로 호출된 29만 1831건의 단말기 고유식별번호(IMEI)와 △이름 △생년월일 △전화번호 △이메일 등 개인정보 다수가 있었다.

로그 기록이 남아있는 지난해 12월 3일부터 지난달 24일에는 자료 유출이 없었으나, 최초 악성코드 설치 시점인 2022년 6월 15일부터 지난해 12월 2일의 자료 유출 여부는 확인되지 않았다. 

과기정통부는 "악성코드 감염 서버에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있음을 확인했다"며 "방화벽 로그기록이 남아있는 2024년 12월∼2025년 4월에는 자료 유출이 없었으나, 로그 기록이 없는 2022년 6월~2024년 12월 자료 유출 여부는 확인되지 않았다"고 밝혔다. 이어 "앞으로도 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우 이를 투명하게 공개하고 사업자로 하여금 신속히 대응토록 하는 한편 정부 차원의 대응책도 강구해 나갈 계획"이라고 덧붙였다. /hyk@seadaily.com