[이코노미스트 라예진 기자] SK텔레콤 유심 해킹 사건과 관련해, 첫 공격이 지난 2022년 6월 15일인 것으로 파악됐다. 19일 SK텔레콤 해킹 사건을 조사 중인 민관 합동 조사단 정부서울청사에서 2차 조사 결과를 발표했다.

이번 조사 결과, 1차 조사 결과에서 밝혀진 감염 서버 외에도 18대의 감염 서버를 더 있음을 밝혀냈다. 이로써 SKT에서 해킹 공격을 받은 서버는 총 23대로 늘었다. 이 가운데 15대는 포렌식 등 정밀 분석이 끝났지만 나머지 8대에 대해서는 분석이 진행 중이다.

이중 감염이 확인된 서버 중 2대는 개인정보가 일정 기간 임시로 관리되는 서버로 조사되면서, 유심(USIM) 정보뿐 아니라 개인정보도 빠져나갈 수 있다는 가능성이 제기됐다. 빠져나갔을 수 있는 개인정보는 이름, 생년월일, 전화번호, 이메일 등 휴대전화 가입 시 남기는 정보들로 추정된다. 다만, 조사단은 이 서버에 저장됐던 정확한 개인정보의 종류는 개인정보보호위원회 조사 대상이라고 언급했다.

이 2대의 서버는 통합고객인증 서버와 연동되는 기기들로 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 개인정보를 저장하고 있었다.

다만, 조사단은 2차례에 걸쳐 정밀히 조사한 결과 방화벽에 로그 기록이 남아있는 지난해 12월 3일부터 지난 달 24일까지 기간에는 데이터 유출이 없었다고 밝혔다.

하지만, 최초 악성코드가 설치된 시점인 2022년 6월 15일부터 지난해 12월 2일까지, 즉 로그 기록이 남지 않은 기간의 유출 여부는 확인하지 못했다.

이에 조사단은 개인정보가 들어 있는 문제의 서버 해킹을 확인한 시점인 지난 11일 SK텔레콤에 자료 유출 가능성을 자체 확인하고 비정상 인증 시스템(FDS) 고도화 등 이용자 피해를 막을 조치를 강구할 것을 요구했다. 아울러, 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라 보고 지난 13일 개보위에 개인정보 포함 서버의 해킹 사실을 통보하는 한편 서버 자료를 공유했다.

이번 해킹은 중국 당국의 지원을 받는 것으로 의심되는 해킹 집단이 주로 사용하는 ‘BPF도어(Berkeley Packet Filter Door)’ 그룹이 주로 사용하는 악성코드로 확인됐다. 

류제명 과기정통부 네트워크정책실장은 SKT 위약금 면제 여부 관련 "조사단 결과를 종합해 (위약금 면제를 규정한) 약관 해석을 어떻게 할지 엄정히 판단하겠다는 입장에서 변화가 없다"며 "이번 해킹이 경제적 목적 등으로 특정 데이터베이스를 목표로 해 탈취하고 다크웹 등에서 거래를 시도하는 양상과 달라 해커의 서버 침입 목적 등을 면밀하게 들여다보고 있다"고 덧붙였다.

한편 SKT는 지난 18일부터 비정상인증차단시스템(FDS, Fraud Detection System) 시스템을 고도화해 불법 복제폰 접근까지 차단할 수 있도록 한 업그레이드 솔루션을 통신망에 추가 적용하고 있음을 밝혔다. SKT 관계자는 “고객 정보 보호 강화 차원에서 지속 개발해오던 FDS 고도화 연구 개발 작업을 이번 침해사고 이후 속도를 내 빠르게 적용할 수 있었다”고 설명했다. 

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지