(서울=뉴스1) 양새롬 김정현 기자 = SK텔레콤(017670)의 임시 관리 서버가 악성코드에 감염돼 단말기 고유식별번호(IMEI)와 개인정보 등의 유출 가능성이 있는 것으로 나타났다.

다만 정부는 이것만으로 '심 스와핑'이 가능한 이른바 쌍둥이폰을 만드는 것은 불가능하다고 선을 그었다.

SK텔레콤 침해사고 민관합동조사단은 19일 정부서울청사에서 브리핑을 열고 "공격받은 정황이 있는 SKT 서버 23대 중 통합고객인증 서버와 연동되는 서버 2대에 IMEI 및 개인정보 등 저장된 파일이 있었던 것으로 파악됐다"며 이같이 밝혔다.

해당 서버에 저장된 파일에는 고객 인증을 목적으로 호출된 29만 1831건의 IMEI와 △이름 △생년월일 △전화번호 △이메일 등 개인정보 다수가 있었다.

이와 관련 류제명 과학기술정보통신부정통부 네트워크정책실장은 "노출된 IMEI 값은 열다섯 자리의 숫자 조합인데 그 조합만 가지고는 복제폰, 쌍둥이 폰은 원천적으로 불가능하다는 것이 제조사들의 해석"이라고 강조했다.

이로 인해 그간 정부와 SK텔레콤이 강조해온 '유심보호서비스'에 가입하면 안전하다고 할 수 있느냐는 질문에 류 실장은 "SK텔레콤이 부정가입 접속방지시스템(FDS)에서의 기술적 고도화 작업을 완료했다"며 "설사 쌍둥이폰이 만들어졌다고 하더라도 네트워크 접속은 완벽히 차단할 수 있다"고 답했다.

류 실장은 그러면서도 "기술적으로 100%는 장담하기 어려운 부분이기 때문에 사업자에게도 만에 하나 발생할 수 있는 피해 관련 보상책을 확실히 하라는 요구를 한 상태"라고 덧붙였다.

이날 조사단은 SK텔레콤의 리눅스 서버 약 3만여대를 4차례에 걸쳐 점검한 결과를 공개했다. 현재까지 조사단은 총 23대의 서버 감염을 확인해 15대에 포렌식 등 정밀분석을 완료했다. 잔여 8대 분석도 진행 중이다.

이 과정에서 발견된 악성코드는 총 25종이다. 그간 알려진 BPF도어 계열 외에 웹셸이 추가로 확인됐다.

조사단 부단장인 이동근 KISA 디지털위협대응본부장은 "추가 발견된 웹셸 1종은 기본적으로 홈페이지를 장악하는 기술에서 사용되는 형태"라며 "웹셸 설치 시점이 조사 과정에서 최초 감염 시점을 알려주는 중요한 요소로 작용했다"고 언급했다.

유출 유심정보의 규모는 9.82기가바이트(GB)이며, 가입자 식별키(IMSI) 기준 2695만7749건으로 파악됐다.

조사단은 로그 기록이 남아있는 지난해 12월 3일부터 지난달 24일에는 자료 유출이 없었다고 밝혔다. 다만 최초 악성코드 설치 시점인 2022년 6월 15일부터 지난해 12월 2일의 자료 유출 여부는 확인되지 않았다.

이에 조사단은 수사기관의 수사 상황이라든지 다크웹을 모니터링하는 식으로 유출 여부를 계속해서 확인하고 있다는 설명이다.

조사단장인 최우혁 과기정통부 정보보호네트워크정책관은 "혹시라도 웹셸과 같은 또 다른 가능성을 열어두고 5차를 진행하고 있는 상황"이라면서 "조사가 철저하게 진행되고 있다"고 말했다.

또 "철저하게 조사한다는 인식하에 조금 지연될 가능성도 있지만 최대한 6월 이내에 해결해 나간다는 목표를 잡고 있다"고 전했다.

류 실장은 "4차에 걸친 강도 높은 조사 작업이 계속 반복되면서 IMEI 값을 호출하는 과정이 담긴 시스템에 이런 자료가 있다는 걸 저희가 추가로 발견하게 된 것"이라며 "앞으로도 5차 작업이 진행되고 있는데 그동안 분석하지 못했던 것들이 있을 수 있어 여러 우려를 해소할 수 있는 다양한 방법을 사업자에게 요구했다"고 설명했다.

이밖에 위약금 면제 요구와 관련해선 "정부는 위약금 면제에 대한 판단을 지금까지 한 번도 하지 않고 있다. 약관 해석에 있어 귀책 사유가 위약금 면제에 해당하는지 여부의 법률 검토를 1차적으로 했고 현재 작업 중"이라며 "조사단의 작업 결과를 종합해 약관 해석을 어떻게 하는 게 합당한지 판단을 하겠다는 입장에는 변함이 없다"고 했다.

flyhighrom@dqdt.shop