article_right_top
SK텔레콤의 대규모 개인정보 유출 사태가 갈수록 확산되는 가운데, 정부 조사 결과 악성코드에 감염된 서버가 총 23대에 이르는 것으로 확인됐다. 이번 해킹은 단순 침입을 넘어, 장기간에 걸친 은밀한 내부 시스템 감염이라는 점에서 충격을 더하고 있다.
개인정보보호위원회(위원장 고학수)는 사고 발생 직후인 지난 4월 22일부터 즉각 조사에 착수했으며, 현재는 독립적인 집중조사 태스크포스를 구성해 본격적인 단독 조사를 진행 중이다. 이번 조사는 ‘개인정보 보호법’ 제63조에 따른 것으로, 과학기술정보통신부 주도의 정보통신망법 기반 조사와는 별개다. 조사에 따르면, 유출 경로로 확인된 가입자인증시스템(HSS)을 포함해 통합고객시스템(ICAS) 서버 등 총 18대 서버가 이미 악성코드에 감염된 상태로 드러났으며, 이후 조사단이 추가로 파악한 서버까지 포함하면 전체 감염 서버는 총 23대에 달한다. 특히 ICAS는 SK텔레콤의 핵심 고객 정보 시스템으로, 사내 및 협력사들이 가입자 정보를 조회하는 데 사용되는 중요한 인프라다.
이들 서버에는 이름, 생년월일, 휴대전화번호, 이메일, 주소, IMEI(단말기 고유식별번호), IMSI(가입자식별번호) 등 최대 238종에 이르는 민감한 개인정보가 저장되어 있었던 것으로 확인됐다. 문제는 악성코드 감염 시점이 2022년 6월로 추정되면서, SK텔레콤 시스템 내부에 2년 가까이 잠복해 있던 공격자가 고객 정보를 유출했을 가능성이 제기되고 있다. 개인정보위는 5월 2일 긴급 의결을 통해, 유출이 확인된 유심(USIM) 정보 역시 개인정보에 해당한다고 판단하고, 관련 고객에게 개별 통지를 즉시 시행할 것을 SK텔레콤에 촉구했다. 이는 이름, 전화번호뿐 아니라 IMSI, 인증키 등 유심 정보 역시 피해자로서 보호되어야 한다는 판단에 따른 것이다.
한편, SK텔레콤 침해사고 민관합동조사단은 지난 4월 29일 1차 발표에 이어 5월 19일 2차 조사 결과를 공개하면서, 최대 2,900만 건에 달하는 유심 관련 정보 유출에 이어 IMEI 정보 약 29만 건이 추가로 유출됐을 가능성이 있다고 밝혔다. 조사단에 따르면 이번 해킹에는 BPFDoor 계열의 리눅스 기반 고도화된 악성코드가 사용됐다. 해당 악성코드는 은폐성이 강하고 장기간 활동이 가능해 감염 여부를 확인하기 어려운 특징을 갖고 있으며, 일부 서버는 2022년부터 이미 침해당한 것으로 확인됐다.
현재까지 조사단은 23대의 서버에서 악성코드를 발견했고, 이 중 15대는 정밀 포렌식 분석을 완료했으며, 나머지 8대는 5월 말까지 분석을 마칠 계획이다. IMEI 정보는 2024년 12월 3일부터 2025년 4월 24일 사이에는 유출 흔적이 없으나, 그 이전 기간에 대한 로그가 남아 있지 않아 실제 유출 여부는 판단이 어려운 상황이다. 이번 사건과 관련해 정부는 SK텔레콤뿐 아니라 타 통신사와 플랫폼 기업에 대한 점검도 병행 중이다. 과기정통부는 지난 5월 12일부터 '통신사 및 플랫폼 보안점검 TF'를 구성하고 점검을 진행하고 있으며, 현재까지 다른 민간·공공기관에서는 피해가 보고되지 않았다.
개인정보보호위원회는 향후 유출된 정보가 다크웹이나 인터넷상에서 유통되는지 여부에 대해 실시간 모니터링을 강화하는 한편, 스미싱·피싱 등 2차 피해를 막기 위한 국민 안내도 확대하고 있다. 아울러 관련 법 위반이 확인될 경우, SK텔레콤에 대해 강도 높은 법적 조치를 예고한 상태다.
개인정보위 관계자는 “이번 사고는 국민적 신뢰와 정보보호 체계를 근본적으로 흔드는 중대한 사안”이라며, “책임소재를 철저히 규명하고, 재발 방지를 위한 강력한 대책을 마련할 것”이라고 밝혔다.
-이정직기자
이정직기자
<저작권자 © 재난포커스 무단전재 및 재배포금지>
