SK텔레콤 해킹으로 복제폰을 발생시킬 수 있는 단말기 고유식별번호(IMEI)가 담긴 서버도 악성코드 위협에 노출됐을 가능성이 제기됐다. SK텔레콤이 피해 방지를 위해 제공해 온 유심보호서비스가 무용지물이 되는 것 아니냐는 우려가 나온다. 이에 SK텔레콤은 IMEI는 유출되지 않았으며, 설상 유출됐더라도 단말 복제에 사용할 수 없다고 해명했다.
SK텔레콤 해킹 사건을 조사 중인 민관 합동 조사단은 19일 정부서울청사에서 2차 조사 결과를 발표했다. 앞서 조사단은 지난달 29일 1차 발표에서 악성코드에 감염된 서버 5대 중 홈가입자서버(HSS) 3대에서 가입자 식별번호(IMSI), 인증키 등 유심 정보 4종을 포함한 25종의 정보가 유출됐다고 밝혔다.
조사단은 이후 정밀 점검에서 18대의 감염 서버를 더 발견했다. 악성코드도 21종 더 찾아냈다. 현재까지 25종의 악성코드를 통해 23대 서버가 감염된 것이다. 이 가운데 15대는 포렌식 등 정밀 분석이 끝났지만 나머지 8대에 대해서는 분석이 진행 중이다.
특히 이번에 감염이 추가로 확인된 서버에는 IMEI를 비롯한 개인정보가 일정기간 임시로 관리되는 서버 2대가 포함돼 우려를 낳는다. IMEI는 다른 사람이 스마트폰을 복제할 수 있는 심스와핑 공격도 가능한 핵심 정보다. 탈취된 경우 휴대전화 복제와 이상 금융거래에 악용될 수 있다.
염흥열 순천향대 정보보호학과 교수는 “IMEI가 유출됐다면 심스와핑 공격 가능성이 커진 것”이라며 “유심보호서비스의 유효성에도 문제가 생길 수 있다”고 말했다.
조사단은 1차 조사 결과 발표 당시 IMEI가 빠져나가지 않아 복제폰 우려는 없다고 언급한 바 있다. 그런데 해당 서버 2대에는 IMEI를 비롯해 이름, 생년월일, 전화번호, 이메일 등 개인정보가 저장돼 있었다. IMEI는 29만1831건 포함돼 있었다.
다만 조사단은 방화벽 로그 기록이 남아있는 기간인 지난해 12월3일부터 올해 4월24일까지 IMEI 유출이 없었다고 확인했다. 기록이 남아있지 않은 2022년 6월15일부터 지난해 12월2일까지의 유출 여부는 현재까지 확인되지 않았다. 조사단은 2022년 6월15일 최초 악성코드가 설치된 것으로 보고 있다.
조사단은 개인정보가 들어 있는 문제의 서버 해킹을 확인한 시점인 지난 11일 SK텔레콤에 자료 유출 가능성을 자체 확인하고 이용자 피해를 막을 조치를 강구할 것을 요구했다. 또, 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라 보고 지난 13일 개보위에 개인정보 포함 서버의 해킹 사실을 통보하고, 서버 자료를 공유했다.
SK텔레콤은 이날 오후 삼화타워 3층에서 브리핑을 열고 조사단 발표에 대한 입장을 밝혔다. 최초 유출이 확인된 이후 추가 유출은 없으며, 일각에서 우려하는 단말 복제도 물리적으로 불가능하다는 입장이다. 그러면서 복제가 발생해 피해가 발생한 경우 100% 피해를 보상하겠다고 설명했다.
류정환 SK텔레콤 네트워크인프라센터장은 “SK텔레콤은 종합보안관제시스템, 네트워크 탐지·대응(NDR), 방화벽 등 통합보안관제를 하고 있다”며 “과거 기록을 확인한 결과 지난달 19일 이후 유출은 확인된 바 없다”고 강조했다.
이어 “IMEI 29만건은 유출된 게 아니며 복제가 사실상 불가하다. 또 단말 제조사 두 곳에 확인한 결과 제3자의 단말 복제는 불가능하다는 답변을 받았다”고 전하며 “고도화된 비정상 인증 차단 시스템(FDS) 2.0을 통해 현존하는 불법 복제 시도는 네트워크에서 모두 차단한다”고 말했다.
끝으로 “FDS와 유심보호서비스, 유심교체 등 고객안심패키지로 고객을 보호하겠다”며 “유심 및 단말 불법 복제 등 이번 해킹 사고로 인한 피해가 발생하면 SK텔레콤이 책임지겠다”고 강조했다.
SK텔레콤 측의 해명에도 소비자들은 불안감을 표시하고 있다. IMEI 유출 가능성을 두고 민관합동조사단과 SK텔레콤의 온도 차가 확실하기 때문이다. 이에 대해 류 센터장은 “조사단은 로그 데이터를 기준으로 보고 있고, 저희는 가용할 수 있는 모든 데이터를 종합적으로 판단한 결과이기 때문에 시각이 다를 수 있다”고 말했다. 유심보호서비스 가입만으로 안전하다는 입장이 여전한지 묻자 “그렇다. 그럼에도 피해가 발생하면 보상하겠다”고 답했다.
악성코드 생성 사실을 3년간 왜 몰랐냐는 질문에는 “2022년 6월15일이 최초 생성 날짜인지 의문을 갖고 있다. 해커들은 생성 날짜를 조작할 수 있고, 보통 기간을 길게 하는 경향이 있기 때문”이라고 언급했다.
이화연 기자 hylee@segye.com
