민관합동조사단 2차 조사 결과 발표

감염서버 23대·악성코드 25종 확인

개인정보 임시 관리 서버 2대 감염

자료·개인정보 유출 피해 발견안돼

서울 시내 한 SK텔레콤 대리점 앞을 시민이 지나가고 있다. [연합]
서울 시내 한 SK텔레콤 대리점 앞을 시민이 지나가고 있다. [연합]

SK텔레콤 해킹 사태 관련 13종이 추가로 발견됐다. 다만 1차 조사와 마찬가지로 현재까지 고유식별번호(IMEI) 유출은 없는 것으로 나타났다.

SK텔레콤 해킹 사태 민관합동조사단(이하 조사단)은 1차 조사에서 발견된 악성코드 12종에 이어 13종이 추가로 발견됐다고 19일 밝혔다. 감염 서버도 1차 발표 5대에 이어 18대가 추가로 확인됐다.

개인정보가 일정 기간 임시로 관리되는 서버 2대에서 감염 사실이 확인됐다. 그럼에도 1차 조사와 마찬가지로 IMEI 유출은 없었다.

▶악성코드 13종 추가…총 25종 확인=조사단은 현재까지 SKT 리눅스 서버 약 3만대를 점검한 결과, 새롭게 발견된 악성코드 13종을 비롯해 총 25종을 확인했다. BPF도어 계열 24종과 웹셸 1종 등이다.

앞선 1차 조사에서는 유출된 유심정보 9.82GB, 가입자 식별키(IMSI) 기준 2695만7749건과 함께 악성코드 BPF도어 계열 12종을 공개한 바 있다.

BPF도어는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF를 악용한 백도어다. ‘은닉성’이 높아 해커의 통신 내역을 탐지하기 어렵다는 특징이 있다.

조사단은 BPF도어 계열 악성코드의 특징을 감안해 네 차례에 걸친 조사를 진행한 바 있다. BPF도어 계열 악성코드 특징을 염두에 두고, 다른 서버에 대한 공격 여부까지 확인하기 위한 목적으로 진행됐다.

웹셸이란 서버를 해킹하는 도구 중 하나다. 공격자가 원격에서 공격 대상 웹서버에 명령을 수행할 수 있도록 작성한 웹스크립트 파일이다.

이와 함께 조사단은 공격받은 정황이 있는 감염 서버 총 23대를 확인했다. 이 중 15대는 포렌식·로그 분석 등 정밀 분석이 완료됐고, 8대는 이달까지 분석을 끝낼 예정이다.

지난 18일 기준으로 분석이 완료된 15대 중 개인정보 등을 저장하는 2대에서 감염 사실이 새롭게 나왔다.

해당 서버는 통합고객인증 서버와 연동되는 서버다. 고객 인증을 목적으로 호출된 IMEI와 이름·생년월일·전화번호·이메일 등 다수의 개인정보가 담겨있는 곳이다.

해당 서버에 저장된 파일 중 총 29만1831건의 IMEI가 포함됐으나, 지난해 12월 3일부터 지난달 24일까지 자료 유출은 없었다. 단 2022년 6월 16일부터 지난해 12월 2일까지 자료 유출 여부는 확인되지 않았다.

조사단은 “앞으로도 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우, 이를 투명하게 공개할 것”이라며 “SKT로 하여금 신속히 대응토록 하는 한편 정부 차원의 대응책도 강구해 나갈 것”이라고 밝혔다.

▶“자료·유심 정보 유출 피해 없어”=현재까지 유심(USIM) 정보 유출에 따른 2차 피해는 없는 것으로 확인됐다. SKT는 추가 피해를 막기 위해 노력하는 한편 고객 신뢰 회복에도 총력을 다하고 있다.

SKT는 외부 전문가로 구성된 ‘고객신뢰위원회’를 출범시켰다. 독립 기구인 고객신뢰위원회는 고객의 이야기를 듣고 SKT가 마련한 고객 신뢰 향상 방안을 검증하며, 효과를 극대화할 수 있게 자문하는 활동을 한다. 또 활동 내용과 경과를 외부와 소통하는 역할도 맡는다.

SKT 관계자는 “고객의 관점에서 바라보며, 고객 여러분이 체감할 수 있는 실질적인 변화를 시작하겠다”며 “이번 고객신뢰위원회 출범을 계기로 고객과 사회가 공감할 수 있는 고객가치 향상 방안이 실행될 수 있도록 회사의 모든 역량을 집중하고, 장기적으로는 이번 사태를 전화위복 삼아 회사가 한 단계 더 높은 수준으로 발전하는 계기를 만들겠다”고 밝혔다.

고재우·권제인 기자


ko@heraldcorp.com