다시 제기된 'SKT IMEI 유출' 가능성⋯정부 "복제폰 걱정 말라" [일문일답]

[아이뉴스24 안세준 기자] SK텔레콤 사이버 침해사고를 조사 중인 민관합동조사단(단장 최우혁)이 단말기 고유식별번호(IMEI)와 개인정보를 저장하는 SK텔레콤의 서버가 공격받은 정황을 추가로 확인했다. IMEI가 유출됐을 가능성이 제기된 것이다. 다만 정부는 최악을 가정해 IMEI가 유출됐다고 하더라도 복제폰으로 인한 피해는 발생하지 않을 것으로 보고 있다.

19일 과학기술정보통신부가 발표한 SK텔레콤 침해사고 민관합동조사단의 조사 결과에 따르면, 해커로부터 공격을 받은 정황이 있는 SK텔레콤의 서버가 추가로 18대 발견됐다. 조사단은 기존 5대 서버를 포함한 총 23대 서버 중 15대에 대한 정밀 분석(포렌식, 로그분석)을 완료한 상태다.

정밀 분석 결과 15대 중 개인정보 등을 저장하는 서버 2대가 확인됐다. 이 서버는 통합고객인증 서버와 연동되는 서버들로, 고객 인증을 목적으로 호출된 IMEI와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일) 등이 포함돼 있었다.

다만 조사단은 방화벽 로그기록이 남아 있는 기간(2024년 12월3일~2025년 4월24일)에는 자료 유출이 없었다고 밝혔다. 악성코드가 설치된 시점부터 로그기록이 남아 있지 않은 기간(2022년 6월15일~2024년 12월2일)의 자료 유출 여부에 대해서도 "현재까지는 확인되지 않았다"고 말했다.

정부는 로그기록이 남아 있지 않은 기간 IMEI 유출 가능성에 대해 "지금 상황에서 이야기를 하는 것은 어렵다는 판단"이라면서도 복제폰에 대한 우려는 기술적으로 불가능한 것으로 보고 있다고 했다.

류제명 과기정통부 네트워크정책실장은 "SK텔레콤은 부정가입접속방지 시스템, 이른바 FDS라고 하는 시스템에서의 기술적 고도화 작업에 대한 발표를 진행할 예정이다. 설사 복제폰, 쌍둥이폰이 만들어졌다고 하더라도 이를 무력화하는 시스템이어서 저희는 기술적으로 우려가 없다고 판단하고 있다"고 발언했다.

이어 "저희는 제조사하고도 확인하는 과정을 거치고 있다. 노출된 IMEI값은 15자리의 숫자 조합인데, 그 숫자 조합만을 가지고는 복제폰, 쌍둥이폰은 원천적으로 불가능하다는 것이 제조사들의 해석"이라고 덧붙였다.

다음은 류제명 과기정통부 네트워크정책실장, 최우혁 과기정통부 정보보호네트워크정책관 겸 SK텔레콤 침해사고 민관합동조사단 단장, 이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장 겸 민관합동조사 부단장과의 일문일답이다.

-악성코드가 설치된 시점을 2022년 6월15일로 보는 근거는.

(최우혁 단장) 포렌식을 하면서 악상코드가 설치된 날짜들을 전문가들이 분석하게 된다. 조사단이 데이터들을 정확하게 추적해서 두 차례에 걸쳐 심도 있게 검토한 뒤 작성한 결과라고 말씀 드린다.

-로그기록이 남아있지 않은 기간의 경우 자료 유출 여부가 확인된 건 없다고 밝혔다. 다만 확인되지 않은 것일 뿐, 유출이 이뤄졌을 가능성도 있는데 이 경우 유심보호서비스가 무의미해지는 것 아닌가.

(최 단장) 로그가 남아 있는 기간에 대해서는 유출이 되지 않은 건 분명하다. 그 이전(로그가 남아있지 않은 기간)에 대해서는 자료가 남아있지 않기 때문에 어떤 추정도 어렵다. 저희가 수사 상황이라든지 또 다른 추정 근거인 다크웹이라든지 등을 모니터링하고 있다. 여기에서 아직까지 확인된 바는 없다.

(류제명 네트워크정책실장) 지금 상황에서는 가능성에 대한 이야기를 하는 것은 어렵다는 판단이다.

다만 정말 최악의 경우(로그기록이 남아있지 않은 기간에서의 IMEI 등 유출 가능성)에 유심보호서비스는 어떻게 되는 것이냐고 묻는다면, SK텔레콤은 부정가입접속방지 시스템, 이른바 FDS라고 하는 시스템에서의 기술적 고도화 작업에 대한 발표를 금일 오후 진행할 예정이다. 설사 복제폰, 쌍둥이폰이 만들어졌다고 하더라도 이를 무력화하는 시스템이어서 저희는 기술적으로 우려가 없다고 판단하고 있다.

저희는 제조사하고도 확인하는 과정을 거치고 있다. 노출된 IMEI값은 15자리의 숫자 조합인데, 그 숫자 조합만을 가지고는 복제폰, 쌍둥이폰은 원천적으로 불가능하다는 것이 제조사들의 해석이다. 숫자 외에 단말과 숫자를 인증하는 인증키 값을 제조사들이 갖고 있기 때문에 15자리 숫자만 복제됐다고 해서 워킹하는 상황은 아니라고 한다.

-로그기록이 남아있지 않은 공백 기간에 대해서는 어떤 식으로 유출 여부를 조사할 계획인지.

(이동근 부단장) 기술적으로는 로그가 없으면 현실적으로 (여부를 판단하기가) 굉장히 어려운 점이 있다. 하지만 다각적인 검토를 하고 있다. 여러 가지 시나리오 베이스들을 검토하고 있다. 저희가 조사단만 있는 게 아니라 수사 기관이라든지 협력 기관들이 조사를 하고 있는 과정이다. SK텔레콤 내부가 아닌 바깥쪽에서 어떤 정보가 나올 수도 있다. 그런 부분까지 고려해서 다각도로 검토 중이다.

-추가 악성코드로 BPF도어 외에도 웹셸 1종이 발견됐다. 웹셸 1종은 어떤 경로로 침투가 되었나. 기존 침투 경로와는 달리 이뤄졌는지.

(이 부단장) 웹셸 1종은 데이터가 임시로 저장돼 있는 서버에서 최초 발견됐다. 웹셸은 BPF도어처럼 은닉성을 가지는 게 아니라 홈페이지를 장악하는 기술에서 널리 쓰이는 형태의 웹셸이었다. 최초 웹셸이 설치되고 그 이후에 BPF도어 악성코드가 설치되는 시간순으로 되어 있다. 웹셸은 언제, 최초로 악성코드가 감염됐는지 시점을 알려주는 중요한 요소로 작용했다.

-가입자 식별키(IMSI) 기준 2695만 건의 유심 정보가 유출됐다고 발표했다. SK텔레콤 가입자 수가 알뜰폰을 포함해 2500만 수준인데, 왜 더 많은지.

(이 부단장) 2690만으로 말씀드린 부분은 임시 정보가 들어 있는 데이터베이스에서 해커가 추출해서 가지고 나온 규모 전체를 말씀드린 것이다. 그 규모 안에는 유효하지 않는 번호가 있을 수 있다. 예를 들어서 테스트폰이라든지, 여러 가지 임시 값들이 들어있다. 유효성에 대한 부분은 추후 개인정보보호위원회 등에서 명확하게 식별하는 작업이 이뤄질 것이다. 저희는 유출 규모를 확정해야 하기 때문에 데이터베이스 안에 있는 전체를 일단 건수로 뽑았다.

-1차 조사 결과 때는 IMEI가 유출되지 않았다고 이야기를 했었는데, 2차 결과에서는 IMEI의 유출 가능성이 남게 됐다. 달라진 이유는 무엇인가.

(류 실장) 저희가 1차 발표했던 시점은 4월29일이다. 이는 4월23일 조사단이 구성된 지 6일 만의 발표다. 조사 초기였고 그 당시에는 복제폰에 대한 국민적 우려가 컸다. 사회적으로 논란이 증폭되는 시기였기 때문에 저희가 IMEI가 저장된 모든 서버를 (SK텔레콤으로부터) 제출받아 그 서버에 대한 분석 작업을 긴급히 했다.

이후 IMEI를 보관하고 있는 서버들, 그 서버들이 공격받은 흔적이 있는지 유출이 됐는지를 그 단계에서 확인했다. (IMEI를 보관하는 서버들은) 공격받은 흔적이 없고 유출되지 않았다는 것을 확인하고 발표했다.

다만 조사 일주일 단계에서 3만 대 서버를 모두 보고, 모든 조사 결과를 마칠 수는 없었다. 이후 4차에 걸친 강도 높은 조사 작업이 계속 반복되면서 IMEI값을 호출하는 과정, 시스템에서 IMEI 자료가 있다는 것을 추가로 발견하게 됐다.

5차 조사가 진행되고 있는데 그동안 분석하지 못했던, 포착이 안 됐던 것들이 또 있을 수 있다. (추가 악성코드·유출 등이 없다고) 100% 장담하기가 어렵다. 그래서 사업자에 여러 가지 우려를 해소할 수 있는 다양한 방안을 요구한 것이다.

다만 IMEI 숫자 15자리 조합이 유출이 됐다고 해서 이른바 복제폰이 만들어질 가능성은 (제조사들의 해석처럼) 거의 해소가 됐다고 판단을 하고 있다. 국민들이 과도하게 불안해하지 않으시기를 바라고 있다.

-개인정보보호법에서는 2년치 로그 기록을 보관하도록 규정되어 있다. 로그 기록이 없는 이유가 무엇인지. 해커가 탈취한 것인지.

(이 부단장) 개인정보보호법에 따라 보관해야 하는 건 개인정보를 저장, 처리하는 법적으로 정해진 시스템이 있다. 거기에 대해서는 기록이 남는다. 다만 저희가 임시 저장돼 있다고 밝힌 서버는 개인정보 저장, 처리 등의 목적으로 쓰인 게 아니라 데이터베이스에서 요청을 받아 처리하는 목적의 서버였다. 때문에 (로그 보관에 대한) 적용이 되지 않았다.

해커가 (로그를) 지웠는지 여부는 저희가 확인이 안 됐다. 다만 방화벽 자체에 해커가 임의로 지우거나 할 경우 흔적이 있는데 그런 건 확인되지 않았다. 해커가 누구인지 부분은 조사단 입장에서는 말씀드리기 어렵다. 범인과 관련된 부분이기 때문이다. 이 부분은 수사기관에서 수사가 진행되는 부분이다.

-악성코드가 최초로 설치됐다는 시점이 2022년 6월15일이라고 밝혔다. SK텔레콤이 최초로 공격을 인지한 시점은 정확하게 언제인가.

(최 단장) SK텔레콤이 인지한 건 사고가 난 이후에 인지했다고 보면 될 것 같다.

-조사 과정에서 SK텔레콤의 보안 조치 미흡 사항이 있었는지.

(최 단장) 조사단은 심도 있게 전체적인 체계, 서버에 대한 분석 등을 진행하고 난 뒤에 재발방지 대책을 수립하게 된다. 그때 발표가 이뤄질 것 같다.

-번호이동에 따른 위약금 면제 여부, 과기정통부는 어떤 입장인지.

(류 실장) 위약금과 관련해서 정부는 위약금 면제에 대한 판단을 지금까지 한 번도 하지 않았다. 저희는 약관의 해석에 있어서 회사의 귀책 사유가 위약금 면제에 해당하는지 여부를 법률적 검토(1차)했다. 저희는 조사단의 작업 결과를 종합해서 약관 해석을 어떻게 하는 것이 합당한지 판단하겠다고 밝힌 바 있다. 그 입장에는 변함이 없다. 그 부분에 대해서는 정확한 조사하에 엄중하게 판단할 계획이다.

-SK텔레콤에 구체적으로 어떤 요구를 했나.

(류 실장) IMEI가 노출이 됐기 때문에 유출될 가능성이 대한 대비를, 조치를 강구하라고 요구했다. 그 요구에 대한 반응으로 FDS 2.0에 대한 고도화 작업을 상당 기간 앞당겨서 적용한 것으로 이해하고 있다.

-CDR이나 통화기록 DB가 유출된 건은 없었는지.

(이 부단장) 아직 조사가 진행 중이지만 CDR과 관련된 데이터베이스가 해킹된 부분은 확인이 안 됐다. 임시로 저장된 곳에 IMEI도 있고 개인정보가 있었다는 부분도 데이터를 봤을 때 통화 기록이 포함되어 있지는 않았다.

-임시 저장 서버는 암호화가 되어 있었나.

(이 부단장) 발견된 임시 저장돼 있던 부분들은 다 평문으로 되어 있었다.

(최 단장) 그 부분은 개보위에서 조사를 하고 난 뒤에 공식적으로 발표가 있을 것 같다.