사진=경제엔미디어

SK텔레콤 해킹 침해사고에 대한 조사를 진행하고 있는 민관합동조사단(이하 조사단)이 2차 조사 결과를 발표했다.

조사단은 19일, 지금까지 총 23대의 서버에서 BPFDoor 계열 악성코드가 발견됐다고 밝혔다. 조사단의 이번 발표는 지난 4월 29일 발표된 1차 조사에 이은 후속 발표다.

조사단은 BPFDoor 악성코드의 은닉성과 확산 가능성을 감안해, SKT의 리눅스 서버 약 3만여 대를 4차례에 걸쳐 집중 점검했다. 

그 결과, 총 25종의 악성코드(BPFDoor 계열 24종, 웹셸 1종)를 탐지하고 조치했으며, 23대 서버의 감염 사실을 확인했다. 이 중 15대는 포렌식 및 로그 분석을 완료했고, 나머지 8대에 대해서는 5월 말까지 정밀 분석을 마칠 예정이다.

특히 조사단은 개인정보가 일시적으로 저장되는 서버 2대에서도 악성코드 감염 사실을 확인했다. 해당 서버는 통합고객인증 시스템과 연동돼 있어 고객의 이름, 생년월일, 전화번호, 이메일, 단말기 고유식별번호(IMEI) 등이 일시적으로 저장돼 있었다.

조사 결과, 이들 서버에는 총 29만1831건의 IMEI 정보가 포함돼 있었으며, 방화벽 접속 로그가 남아 있는 기간(2024년 12월 3일 ~ 2025년 4월 24일)에는 자료 유출이 없었던 것으로 확인됐다. 

다만, 로그가 남아있지 않은 2022년 6월 15일부터 2024년 12월 2일까지의 유출 여부는 현재까지 확인되지 않았다.

조사단은 감염 사실이 확인된 즉시(5월 11일), SKT에 추가 피해를 방지하기 위한 조치를 요구했으며, 개인정보 보호위원회에도 해당 사실을 통보(5월 13일)하고 분석 자료를 공유(5월 16일)했다.

조사단은 1차 조사에서 유심(USIM) 정보 총 2695만7749건(9.82GB)의 유출을 확인한 바 있으며, IMEI 정보가 저장된 38대의 서버에 대한 초기 점검에서는 감염 사실이 없음을 확인했지만, 이후 연동된 서버에 임시 저장된 파일에서 일부 IMEI 정보가 포함돼 있음을 발견했다.

한편 과학기술정보통신부는 통신 3사 및 주요 플랫폼 기업들과 협력해 유사 사고 예방을 위한 보안 강화에 나서고 있다. 지난 5월 3일, 통신사 및 플랫폼 기업 보안 책임자들과의 간담회를 열고, 5월 12일부터는 ‘보안점검 전담조직(TF)’을 운영하며 점검을 지속하고 있다.

조사단은 앞으로도 조사 과정에서 국민 피해가 우려되는 정황이 발견될 경우 이를 신속히 공개하고, 관련 사업자 및 정부 차원에서 적절한 대응이 이뤄지도록 할 방침이라고 밝혔다.

[경제엔미디어=장민철 기자]