(서울=뉴스1) 양새롬 기자 = SK텔레콤(017670) 침해사고를 조사 중인 정부가 단말기 고유식별번호(IMEI) 등 개인정보가 일정기간 임시로 관리되는 서버 2대의 감염사실을 확인했다. 다만 현재로서는 유출 여부를 파악하지 못했다는 설명이다.

또한 공격받은 정황이 있는 서버에서 현재까지 악성코드를 총 25종 발견·조치했다고 밝혔다. 이는 지난달 29일 1차 발표 때보다 21종이 늘어난 수치다.

과학기술정보통신부는 이번 사고 조사를 위해 꾸려진 민관합동조사단이 현재까지 SK텔레콤의 리눅스 서버 약 3만여대를 4차례에 걸쳐 점검했다며 19일 이런 조사 결과를 2차로 발표했다.

조사단은 6월까지 SK텔레콤 서버 시스템 전체를 강도 높게 점검한다는 목표 아래 초기 발견된 BPF도어 감염 여부 확인을 위한 리눅스 서버를 집중 점검해왔다.

또 BPF도어 및 타 악성코드 감염 여부 확인을 위해 리눅스 포함해 모든 서버로 점검 대상을 확대하는 방식으로 조사를 진행했다.

조사단은 이날 현재 총 23대의 서버 감염을 확인해 15대에 포렌식 등 정밀분석을 완료하고 잔여 8대에 분석을 진행함과 동시에 타 악성코드 관련 탐지 및 제거를 위한 5차 점검을 진행 중이다.

조사단은 1차 조사결과에서 발표한 유출 유심정보의 규모가 9.82기가바이트(GB)이며, 가입자 식별키(IMSI) 기준 2695만7749건임을 확인했다.

1차 발표 이후 공격을 받은 정황이 있는 서버는 추가로 18대가 식별돼 총 23대다. 이중 현재까지 15대는 포렌식과 로그분석 등 정밀 분석을 완료했으며, 8대는 이달 말까지 분석을 완료할 예정이다.

분석이 완료된 15대 중 개인정보 등을 저장하는 2대를 확인하고 전날(18일)까지 자료 유출 여부를 추가 조사한 결과, 해당 서버는 통합고객인증 서버와 연동되는 서버였다.

조사단은 해당 서버의 저장된 파일에 총 29만1831건의 IMEI가 포함된 사실을 확인했다. 또 이름과 생년월일, 전화번호, 이메일 등 다수의 개인정보도 포함됐다.

다만 2차에 걸친 정밀 조사 결과, 방화벽 로그기록이 남아있는 지난해 12월 3일부터 지난달 24일에는 자료 유출이 없었으나, 최초 악성코드 설치 시점인 2022년 6월 15일부터 지난해 12월 2일까지의 자료 유출 여부는 확인되지 않았다.

조사단은 이를 확인한 이달 11일 사업자에게 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성을 자체 확인하고 조치를 강구하라고 요구했다.

또 개인정보보호위원회에 이를 통보하는 한편, 사업자 동의를 얻어 조사단에서 확보한 서버자료를 개인정보위에 공유했다고도 설명했다.

과기정통부 관계자는 "12일부터 통신사 및 플랫폼사 보안점검 TF를 운영 중"이라며 "이와 함께 중앙행정기관, 지자체, 공공기관은 국정원 주관으로 점검을 진행 중으로 현재까지 민간, 공공분야 모두 신고된 피해사례는 없다"고 말했다.

flyhighrom@dqdt.shop