SKT 감염서버·악성코드 추가 발견⋯서버 23대·악성 25종으로 늘어

[아이뉴스24 안세준 기자] SK텔레콤 유심(USIM) 해킹 사고와 관련해 감염된 서버와 악성코드가 추가로 발견됐다. 감염서버는 기존 5대에서 18대가 추가 식별돼 총 23대로, 악성코드는 기존 12종에서 13종이 추가된 총 25종으로 각각 늘어났다.

과학기술정보통신부(장관 유상임)는 SK텔레콤 침해사고 민관합동조사단이 지난 4월29일 발표한 1차 조사 결과에 이어 현재까지 추가 조사를 진행한 결과 이같이 확인됐다고 19일 밝혔다.

과기정통부에 따르면, 1차 발표 이후 공격을 받은 정황이 있는 서버는 추가로 18대가 식별됐다. 기존 5대를 포함한 총 23대 서버 중 현재까지 15대는 정밀 분석(포렌식, 로그분석)을 완료했다.

분석이 완료된 15대 중 개인정보 등을 저장하는 2대의 서버가 확인됐다. 이 서버는 통합고객인증 서버와 연동되는 서버들로, 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 포함돼 있다.

조사단은 조사 초기 IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검한 뒤 감염되지 않음을 확인하고 1차 조사 결과를 발표한 바 있다. 과기정통부는 "이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있음을 확인하게 됐다"고 설명했다.

다만 아직까지 확인된 유출 정보는 없는 것으로 파악됐다. 과기정통부는 "조사단이 해당 서버에 저장된 파일에서 총 29만1831건의 IMEI가 포함된 사실을 확인했다"면서도 "조사단이 2차에 걸쳐 정밀 조사한 결과 방화벽 로그기록이 남아있는 기간(2024년12월3일∼2025년4월24일)에는 자료유출이 없었다"고 했다.

그러면서 "최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(2022년6월15일∼2024년12월2일)의 자료 유출 여부도 현재까지는 확인되지 않았다"고 덧붙였다.

조사단은 개인정보 등이 저장된 문제 서버들을 확인한 즉시 사업자에게 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체 확인하고, 국민 피해를 예방할 수 있는 조치를 강구하라고 요구했다.

정부는 개인정보의 경우 개인정보보호위원회에서 조사가 필요한 사항이라고 판단했다. 이에 위원회에도 개인정보가 포함돼 있다는 사실을 통보하는 한편, 사업자 동의를 얻어 조사단에서 확보한 서버자료를 위원회에 공유했다.

조사단은 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우 이를 투명하게 공개하고 사업자가 신속히 대응토록 조치하는 한편, 정부 차원의 대응책도 강구해 나갈 계획이다.

악성코드는 기존 12종 외 BPF도어(BPFDoor) 계열 12종과 웹셸 1종이 추가로 발견돼 조치했다. 조사단은 악성코드 특성 정보, 국내외 알려진 BPF도어 계열 모두를 탐지할 수 있는 툴의 제작방법을 6110개 행정부처, 공공기관, 기업 등에 안내했다.

한편, 조사단은 6월까지 SK텔레콤 서버 시스템 전체를 강도 높게 점검한다는 목표하에 △초기 발견된 BPF도어 감염 여부 확인을 위한 리눅스 서버 집중 점검 △BPF도어 및 타 악성코드 감염 여부 확인을 위해 리눅스 포함 모든 서버로 점검 대상을 확대하는 방식으로 조사를 진행하고 있다.