SKT 서버 악성코드 총 25종 발견…IMEI 등 민감정보 29만건 노출

4월 28일 서울 송파동의 한 SK텔레콤 직영점에서 유심을 교체하려는 고객들이 길게 줄지어 서있다.ⓒ데일리안 이주은 기자

SK텔레콤(SKT) 해킹 사태와 관련해 민관합동조사단이 전체 리눅스 서버 3만여 대를 점검한 결과, 23대에서 총 25종의 악성코드가 발견됐다. 2차 조사에서는 단말기 고유식별번호(IMEI) 등 민감한 개인정보가 저장된 서버까지 악성코드에 감염된 사실이 드러나, 당초 알려진 것보다 개인정보 유출 범위가 넓어진 것으로 확인됐다.

해당 서버에는 29만건이 넘는 IMEI가 임시 저장돼 있었으며, 감염 시점부터 약 2년간의 로그가 존재하지 않아 자료 유출 여부는 확인되지 않았다.

SKT 침해사고 민관합동조사단(이하 조사단)은 19일 발표한 2차 조사 결과에서 SKT 전체 리눅스 서버 3만여 대를 점검한 결과, 총 23대에서 악성코드 25종을 발견했다고 밝혔다.

조사단은 23대 중 15대에 대한 포렌식 등 정밀분석을 완료했고, 나머지 8대는 5월 말까지 분석을 마칠 예정이다.

앞서 1차 조사 결과(4월 29일 발표)에서 조사단은 SKT 해킹 피해 정황이 포착된 서버는 5대에 불과하며, 유출된 정보는 유심 관련 25종(전화번호, IMSI 등)에 한정된다고 밝혔었다. 당시 악성코드는 BPFDoor 계열 4종이며, 단말기 고유식별번호(IMEI)는 "유출되지 않았다"고 발표했다.

그러나 2차 조사에서는 IMEI가 저장된 서버가 악성코드에 감염된 사실이 드러났다.

현재까지 악성코드는 25종(BPFDoor계열 24종 + 웹셸 1종)이다. 악성코드는 1차 공지(4월 25일)에서 4종, 2차 공지(5월 3일)에서 8종이 보고됐고, 이후 추가로 BPFDoor 계열 12종과 웹셸 1종이 발견되면서 총 25종으로 집계됐다.

ⓒ과기정통부

대부분은 은닉성이 강하고 시스템 내부까지 깊숙이 침투할 수 있는 BPFDoor 계열로, 조사단은 국내외 알려진 변종 202종을 탐지할 수 있는 툴을 적용해 4차 점검을 진행했다. 1~3차 점검은 SKT가 자체 점검한 뒤 조사단이 이를 검증하는 방식으로 이뤄졌으며, 4차 점검은 조사단과 한국인터넷진흥원(KISA)이 직접 수행했다.

분석이 완료된 서버 중 2대는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 저장돼 있었다.

조사단은 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있음을 확인했다. 해당 서버의 저장된 파일에는 총 29만1831건의 IMEI가 포함됐다.

서버의 방화벽 로그 분석 결과, 방화벽 로그기록이 남아있는 기간(2024년 12월 3일∼2025년 4월 24일)에는 자료유출이 없었던 것으로 확인했다. 그러나 최초 악성코드가 설치된 것으로 추정되는 2022년 6월 15일부터 약 2년간은 로그가 남아있지 않아, 이 기간 동안의 유출 여부는 파악되지 않고 있다.

조사단은 악성코드 정보 및 탐지 도구 제작 방법을 총 6110개 행정부처, 공공기관, 기업 등에 전달해 피해 확산 방지를 위한 대응을 이어가고 있다.

과기부는 통신 3사 및 주요 플랫폼 기업과 함께 '통신사 및 플랫폼사 보안점검 TF'를 구성해 지난 12일부터 일일 또는 주간 단위로 점검 결과를 공유하고 있다. 중앙행정기관과 공공기관 대상 점검은 국가정보원이 주관하며, 현재까지 민간 및 공공 부문 모두에서 별도 피해 사례는 보고되지 않았다.

조사단은 개인정보가 저장된 감염 서버가 확인된 직후인 지난 5월 11일, SKT에 자체 확인 및 국민 피해 방지를 위한 선제 조치를 요구했다. 이어 13일에는 개인정보보호위원회에 해당 사실을 통보하고, 16일 SKT 동의를 얻어 서버 자료를 공유했다.

조사단은 “침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우 이를 투명하게 공개하고 사업자로 하여금 신속히 대응토록 하는 한편 정부 차원의 대응책도 강구해 나갈 계획”고 밝혔다.