SKT, IMEI도 털렸을 수도…과기부 "폰 복제는 불가능"

SK텔레콤(SKT) 유심정보 유출 사고에서 가입자식별키(IMSI)뿐 아니라 단말기 고유식별번호(IMEI)가 담긴 서버도 악성코드 위협에 노출됐을 가능성이 제기됐다. 지난해 12월부터는 IMEI가 유출되지 않은 것으로 조사됐으나 그 전엔 기록이 남아있지 않아 알 수 없는 상태다. 정부는 이로써 불거질 수 있는 '폰 복제' 등에 대비해 이미 충분한 안전장치를 갖췄다는 입장이다.

과학기술정보통신부 등 SKT 침해사고 민관합동조사단(이하 조사단)은 지금까지의 조사 결과를 2차로 19일 발표했다. 지난달 29일 1차 발표 때는 IMEI 유출이 없었다고 했으나, 이후 정밀 포렌식 과정에서 악성코드 감염 서버와 연동된 일부 서버의 임시 파일에 IMEI가 포함된 게 확인됐다.

조사단은 SKT의 리눅스 서버 3만여대에 대해 4차례에 걸쳐 점검했다. 1∼3차 점검은 SKT가 자체 점검 후 조사단이 이를 검증하는 방식이었고, 4차 점검은 조사단이 한국인터넷진흥원(KISA) 인력을 지원받아 직접 조사했다.

그 결과, 유출된 유심정보 규모는 9.82GB이며 IMSI 기준 2695만7749건으로 확인됐다. 1차 발표 때에 비해 악성코드는 4종에서 기존 BPF도어 계열뿐 아니라 웹셸(1종)까지 25종으로, 감염된 서버는 5대에서 23대로 늘어났다. 현재까지 15대는 정밀 분석(포렌식·로그분석)을 완료했으며 8대는 이달 말까지 분석 완료 예정이다.

특히 조사단은 분석 완료된 15대 중 개인정보 등을 저장하는 2대의 서버에서 일정기간 임시로 저장되는 파일 내 IMEI 29만1831건이 포함된 사실을 확인했다. 통합고객인증 서버와 연동되는 서버들로, 고객 인증 목적으로 호출된 IMEI와 이름·생년월일·전화번호·이메일 등 개인정보가 있었다.

조사단에 따르면 이에 대해 2차에 걸쳐 정밀조사한 결과, 방화벽 로그가 남아있는 지난해 12월 3일부터는 해당 서버에서 IMEI 등 자료 유출이 없었다. 하지만 최초 악성코드가 설치된 시점으로 추정되는 2022년 6월부터 지난해 12월 2일까지의 자료 유출 여부는 현재까지 확인되지 않았다.

현행 개인정보보호법에 따르면 개인정보 처리자는 개인정보가 담긴 시스템의 접속기록을 1년 이상, 기간통신사업자의 경우 2년 이상 보관해야 한다. SKT의 로그는 반년도 남아있지 않았다. 이날 브리핑에서 이동근 KSIA 디지털위협대응본부장은 "임시 저장 목적의 서버라 사업자 측에서 개인정보보호법상 로그 보관 의무가 적용되는 시스템이 아니라고 판단한 것으로 보인다"고 말했다.

1차 조사와 달리 IMEI 유출 가능성이 일부라도 생기면서 일각에선 '심스와핑' 위협도 다시 거론된다. 공격자가 IMSI 등 기존 탈취 정보와 결합해 복제폰을 만드는 식으로 악용하는 것이다. 이에 대해 조사단은 SKT의 이상탐지시스템(FDS) 고도화 등에 따라 기술적으로 충분히 방지 가능하므로 그리 걱정할 게 없다는 입장이다.

류제명 과기정통부 네트워크정책실장은 브리핑에서 "제조사가 보유한 단말별 인증키값 없이 15자리의 IMEI 값만 갖곤 물리적인 복제가 불가능하다는 점을 제조사로부터 확인했다"며 "그동안 높은 수준의 경계를 유지하며 모니터링했는데 실제로 관련 피해가 발생한 것은 없다. (국민들이) 우려하지 않아도 되는 기술적 완성도를 갖고 있다고 판단된다"고 설명했다.

조사단은 개인정보 등이 저장된 문제 서버들을 지난 11일 확인한 즉시 사업자에 국민 피해 예방 조치를 요구했다. 또한, 개인정보의 경우 개인정보보호위원회(개인정보위)의 정밀조사가 필요한 사항이라 보고 개인정보위에 개인정보 포함 사실을 지난 13일 통보한 이후 서버자료를 공유했다.팽동현기자 dhp@dt.co.kr