SK텔레콤에서 발생한 가입자식별장치(USIM) 데이터 해킹 사건으로 9.82기가바이트(GB) 규모의 정보가 유출된 것으로 확인됐다. 가입자식별번호(IMSI) 기준 2695만건이 넘는다. 사실상 모든 가입자의 유심 정보를 탈취당한 셈이다. 해커는 이미 3년 전부터 악성코드를 심어 두고 있었던 것으로 나타났다.

19일 과학기술정보통신부와 한국인터넷진흥원(KISA)은 SK텔레콤 유심 정보 침해 사고 민관합동조사단의 중간 조사 결과를 발표했다.

앞서 1차 조사 결과 발표에서는 악성코드 공격을 받은 흔적이 있는 서버 5대 중 홈가입자서버(HSS)에서 휴대전화번호와 가입자식별키(IMSI) 등 25종의 항목이 유출됐다는 사실이 드러났다. 악성코드는 4종이 추적됐다. 버클리패킷필터(BPF)를 악용한 백도어로 은닉성이 강화돼 해커의 통신 내역을 탐지하기 어려운 특징을 지녔다.

2차 조사 결과 발표에서는 감염 서버가 18대 더 발견됐다. 이로써 SK텔레콤에서 해킹 공격을 받은 서버는 총 23대로 늘었다. 악성코드도 21종이 추가돼 총 25종으로 증가했다. 유출된 데이터 규모는 9.82GB에 달한다. IMSI 기준 2695만7749건이다.

이는 SK텔레콤 가입자와 알뜰폰 이용자를 합산한 고객 수(2500만명)를 웃돈다. 이에 과거 SK텔레콤 고객이었으나 지금은 다른 이동통신회사나 알뜰폰서비스를 이용 중인 가입자의 정보까지 유출됐을 가능성이 제기되기도 했다.

이동근 KISA 디지털위협대응본부장은 “(기준이 된 IMSI는) 데이터베이스에서 해커가 추출해서 가지고 간 데이터 전체라 실제로는 유효하지 않은 정보가 있을 수 있다”며 “테스트용이나 SK텔레콤에서 이용하는 다양한 임시값이 포함돼 있기에 순수하게 가입자가 맞는지 식별하는 작업이 이뤄질 것”이라고 설명했다.

해커가 악성코드를 심은 시점은 지난 2022년 6월 15일로 특정됐다. 방화벽 로그 기록이 남아있는 지난해 12월 3일부터 지난달 24일 사이에 데이터가 유출된 정황은 없었다. 다만 최초 악성코드가 설치된 시점부터 로그 기록이 사라진 지난 2022년 6월 15일부터 지난해 12월 2일까지의 데이터 유출 여부는 아직 확인되지 않았다.

SK텔레콤에 대한 해킹 공격이 장기간에 걸쳐 이뤄지고 피해 규모가 방대하다는 점에서 대책 마련이 시급하다는 지적이 나온다. 더는 개별 기업 문제가 아닌 국가 안보 차원에서 접근해야 한다는 주장이다.

조사단은 SK텔레콤 유심 해킹으로 스마트폰을 복제하는 것은 물리적으로 불가능하다고 판단해 과도한 불안감 형성을 경계하고 있다. 그러면서도 SK텔레콤에게 혹시 모를 피해에 대응할 수 있는 조치를 강구하라고 요구했다. 국가정보원도 중앙행정기관, 지방자치단체, 공공기관을 대상으로 위험성 점검을 진행 중이다. 현재까지 민간·공공 분야에서 피해 사례가 접수되지 않았다.

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]