[SOH] 에스케이텔레콤(SKT) 스마트폰 유심(USIM·가입자 식별 모듈) 정보 해킹 사고로 약 2700만건의 가입자식별번호(IMSI)와 인증키값이 유출된 것으로 조사됐다. 사실상 모든 가입자의 유심 정보가 탈취된 셈이다.
특히 지난달 29일 발표한 1차 조사 결과에선 유출되지 않았다고 한 단말기고유식별번호(IMEI)와 개인정보가 담긴 서버에서도 악성코드가 추가로 발견돼 유출 가능성을 배제할 수 없는 정황도 새로 드러났다.
민관합동조사단(조사단)이 19일 발표한 SKT 침해사고 2차 조사결과에 따르면 현재까지 확인된 감염서버는 총 23대로 1차 조사와 비교해 18대 늘었다. 해킹에 사용된 악성코드는 BPF 도어를 악용한 백도어 외에 웹서버에 숨어든 웹셸이 추가로 발견되며 25종(BPFDoor계열 24종 등)까지 늘어났다. 최초 감염시점은 2022년 6월 15일로 SK텔레콤 서버 내부에 3년 가까이 장기간 침투해 있던 것으로 드러났다.
BPF 도어는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF를 악용한 백도어(Backdoor)다. 은닉성이 높아 해커 통신 내역을 알아채기 어려운 특징이 있다.
유출된 유심 정보는 9.82GB로 IMSI 기준 2695만7749건에 달했다. SKT과 알뜰폰 망 가입자 전원이 해당된다. IMSI 기준으로는 2695만7749건의 유심 정보가 유출된 것으로, SKT 가입자와 SKT 망을 사용하는 알뜰폰 가입자를 합한 2500만명을 웃돈다.
조사단은 이날 정부서울청사에서 열린 브리핑에서 서버 15대를 대상으로 포렌식 등 정밀 분석을 완료한 결과 악성코드 25종(BPFDoor계열 24종 등)이 발견됐고 휴대전화 단말기 고유 식별 번호(IMEI) 저장 서버와 연동된 서버의 임시 저장 파일 내에서 IMEI가 포함됐다고 밝혔다. 지난달 29일 1차 조사 결과 발표에서 유출되지 않았다고 했던 IMEI까지 해킹이 의심되는 것이다.
IMEI가 들어 있었던 서버는 통합 고객 인증 서버와 연동되는 곳이다. 고객 인증을 목적으로 호출된 IMEI와 함께 다수의 개인정보(이름 생년월일 전화번호 이메일 등)가 포함돼 있었다.
조사단은 현재까지 악성코드에 감염된 서버(총 23대)를 정밀 분석한 결과 통합고객인증 서버와 연동된 서버(2대)에 임시로 저장된 파일에 모두 29만1831건의 단말기 고유식별번호가 포함된 사실을 추가로 확인했다.
방화벽 로그가 남아 있는 지난해 12월 3일부터 지난달 24일까지는 정보 유출이 없었지만, 최초 악성코드가 설치된 2022년 6월 15일부터 로그 기록이 남아있지 않은 지난해 12월 2일까지 자료 유출 여부는 확인되지 않았다. 조사단이 밝힌 악성코드 ‘BPF 도어’는 중국계 해커 그룹이 주로 사용하는 수법이다.
조사단은 현재까지 의 리눅스 서버 3만여 대에 대해 네 차례에 걸쳐 점검했고 유출된 유심 정보 규모는 9.82GB, 가입자 식별키(IMSI) 기준으로는 2695만7749건이라고 확인했다. 가입자 전체 IMSI가 털렸다는 뜻이다. 조사단은 감염이 확인된 총 23대 가운데 15대는 정밀 분석을 마쳤고 이달 말까지 나머지에 대한 분석을 마칠 예정이다.
디지털뉴스팀
(ⓒ SOH 희망지성 국제방송 soundofhope.kr)
