닫기

close
아시아투데이
  • 네이버
  • 네이버블로그
  • 유투브
  • 페이스북
  • 트위터X

오피니언

사설

칼럼·기고

기자의 눈

피플

정치

정치일반

대통령실

국회·정당

북한

외교

국방

정부

사회

사회일반

사건·사고

법원·검찰

교육·행정

노동·복지·환경

보건·의약

경제

경제일반

정책

금융·증권

산업

IT·과학

부동산

유통

중기·벤처

아투시티

종합

메트로

경기·인천

세종·충청

영남

호남

강원

제주

국제

세계일반

아시아·호주

북미

중남미

유럽

중동·아프리카

문화·스포츠

전체

방송

가요

영화

문화

종교

스포츠

여행

최신

지면보기

구독신청

First Edition

후원하기

제보24시
뉴스스탠드 네이버블로그 아투TV(유튜브) 페이스북 X(트위터)
IT·과학

민관조사단 “SKT 서버 총 23대 감염...개인자료 유출 여부 조사”

기사듣기 기사듣기중지

공유하기

닫기

  • 카카오톡

  • 페이스북

  • 트위터 엑스

URL 복사

https://www.asiatoday.co.kr/kn/view.php?key=20250519010008745

글자크기

닫기

서병주 기자

승인 : 2025. 05. 19. 11:00

19일 조사결과 2차 발표18대 감염 추가 확인
개인정보 일정기간 임시 관리 서버 2대 포함
특정기간 내 단말기 고유식별번호 유출 여부 미확인
2025051301000896400054871
SK텔레콤이 가입자 유심 무상 교체를 시작한 지난달 28일 서울 종로구 T월드 직영매장 앞에서 고객들이 유심 무상 교체를 위해 줄을 서서 기다리고 있다./박성일 기자
SK텔레콤 해킹 사태 조사를 위해 구성된 민관합동조사단이 2차 발표를 통해 23대의 서버 감염을 확인했다. 그중 이름과 생년월일 등 다수의 개인정보를 관리하는 서버 2대가 포함, 자료 유출 여부에 대한 추가 조사가 이뤄졌다.

19일 과학기술정보통신부에 따르면 조사단은 현재 조사결과를 이날 2차로 발표했다. 조사단은 다음달까지 SKT 서버 시스템 전체를 강도 높게 점검한다는 목표하에 △1단계 : 초기 발견된 BPFDoor 감염 여부 확인을 위한 리눅스 서버 집중 점검 △2단계 : BPFDoor 및 타 악성코드 감염 여부 확인을 위해 리눅스 포함 모든 서버로 점검 대상을 확대하는 방식으로 조사를 진행하고 있다.

SK텔레콤 해킹 사태 민관합동조사단 조사 현황
SK텔레콤 해킹 사태 민관합동조사단 조사 현황./과학기술정보통신부
◇15대 정밀분석 완료…개인정보 관리 서버는 추가 조사
조사단은 이날 기준 총 23대의 서버 감염을 확인해 15대에 대한 포렌식 등 정밀분석을 완료했다. 이어 잔여 8대에 대한 분석을 진행하는 한편, 타 악성코드에 대해서도 탐지 및 제거를 위한 5차 점검을 진행하고 있다. 현재까지 악성코드는 25종(BPFDoor계열 24종·웹셸 1종)을 발견 및 조치했다.

조사단은 현재까지 SKT의 리눅스 서버 약 3만여대에 대해 4차례에 걸친 점검을 진행했다. 4차례에 걸친 조사는 1차 점검에서 확인한 BPFDoor 계열 악성코드의 특성(은닉성, 내부까지 깊숙이 침투할 가능성 등)을 감안해 다른 서버에 대한 공격이 있었을 가능성을 확인하기 위한 목적으로 이뤄졌다고 조사단 측은 설명했다.

1∼3차 점검은 SKT가 자체 점검 후 조사단이 이를 검증하는 방식으로 진행했으며 4차 점검은 조사단이 한국인터넷진흥원(KISA)의 인력을 지원 받아 직접 조사가 이뤄졌다. 조사단은 1차 조사결과에서 발표한 유심정보의 유출 규모가 9.82GB이며, 가입자 식별키(IMSI) 기준 2695만7749건임을 확인했다. 또 악성코드는 1, 2차 공지에서 발표한 BPFDoor 계열 12종에 웹셸 1종을 추가로 확인했다.

1차 발표 이후 공격을 받은 정황이 있는 서버 18대가 추가 식별되며, 이번 사태로 총 23대의 서버가 공격받은 것으로 집계됐다. 총 23대 중 현재까지 15대는 정밀 분석(포렌식, 로그분석)을 완료했으며, 8대는 이달 말까지 분석을 완료할 예정이다.

분석이 완료된 15대 중 개인정보 등을 저장하는 2대를 확인하고 지난 18일까지 2차에 걸쳐 자료 유출 여부에 대해 추가적인 조사를 실시했다. 해당 서버는 통합고객인증 서버와 연동되는 서버들로, 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 있었다.

◇IMEI 유출 여부 미확인…조사단, 사업자에 피해 예방 조치 요구
한편 침해사고 발생 후 복제폰으로 인한 피해 우려로 IMEI 유출 여부에 대해 국민적 관심이 높아지자 조사단은 조사 초기 IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검해 감염되지 않음을 확인한 바 있다. 이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있음을 확인했다고 전했다.

해당 과정에서 조사단은 해당 서버의 저장된 파일에 총 29만1831건의 IMEI가 포함된 사실을 확인했다. 조사단이 2차에 걸쳐서 정밀 조사를 한 결과, 방화벽 로그기록이 남아있는 기간에는 자료유출이 없었으며, 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간의 자료 유출 여부가 현재까지는 확인되지 않았다.

조사단은 지난 11일 개인정보 등이 저장된 문제의 서버들을 확인한 직후, 사업자에게 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체 확인하고 이로 인한 국민 피해를 예방할 수 있는 조치를 강구할 것을 요구했다.

개인정보의 경우, 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라 보고 개인정보보호위원회에도 개인정보가 포함됐다는 사실을 지난 13일 통보했다. 이어 16일에는 사업자 동의를 얻어 조사단에서 확보한 서버자료를 개인정보보호위원회에 공유했다.

과기부 관계자는 "조사단은 앞으로도 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우, 이를 투명하게 공개하고 사업자들이 신속히 대응토록 하겠다"며 "정부 차원의 대응책도 강구해 나갈 계획"이라고 말했다.
서병주 기자

ⓒ 아시아투데이, 무단전재 및 재배포 금지

기사제보 후원하기