SKT 해킹서 IMEI 포함된 서버 감염 확인…"유출 여부는 확인 안돼"

실시간
뉴스

통신*방송

SKT 해킹서 IMEI 포함된 서버 감염 확인…"유출 여부는 확인 안돼"

디지털데일리 발행일 2025-05-19 11:09:50

강소현 기자

URL복사

민관합동조사단, SKT 침해사고 조사결과 2차 발표

[디지털데일리 강소현기자] SK텔레콤 침해사고 민관합동조사단(이하 조사단)의 2차 조사결과 기존 서버 외 다른 서버에서도 악성코드가 발견됐다. 악성코드가 최초 설치된 시점은 2022년 6월로, 현재까지 발견·조치된 악성코드는 25종(BPFDoor계열 24종 + 웹셸 1종)으로 확인됐다. IMEI 정보 유출은 확인되지 않았다.

과학기술정보통신부(이하 과기정통부)는 19일 이 같은 내용의 2차 조사결과를 발표했다. 지난달 29일 1차 발표 이후 한달여 만이다.

조사단에 따르면 이날까지 악성코드 25종(BPFDoor계열 24종 + 웹셸 1종)을 발견⋅조치했다. 악성코드는 1차 공지(4월25일)한 4종, 2차 공지(5월3일)한 8종 외 BPFDoor 계열 12종과 웹셸 1종을 추가로 확인했다.

조사단은 현재까지 SK텔레콤의 리눅스 서버 약 3만여대에 대해 4차례에 걸친 점검을 진행했다. 4차례에 걸친 강도 높은 조사는 1차 점검에서 확인한 BPFDoor 계열 악성코드의 특성(은닉성, 내부까지 깊숙이 침투할 가능성 등)을 감안하여 다른 서버에 대한 공격이 있었을 가능성을 확인하기 위한 목적이었다.

이 중 총 23대의 서버 감염을 확인하여 15대에 대한 포렌식 등 정밀분석을 완료하고, 잔여 8대에 대한 분석을 진행함과 동시에 타 악성코드에 대해서도 탐지 및 제거를 위한 5차 점검을 진행하고 있다. 잔여 8대는 5월말까지 분석을 완료할 예정이다.

분석이 완료된 15대 중 개인정보 등을 저장하는 2대를 확인하고 어제(5월18일)까지 2차에 걸쳐 자료 유출 여부에 대해 추가적인 조사를 실시했다. 해당 서버는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 있었다.

특히, 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있음을 확인하게 되었다.

동 과정에 조사단은 해당 서버의 저장된 파일에 총 291,831건의 IMEI가 포함된 사실을 확인하였다. 조사단이 2차에 걸쳐서 정밀 조사를 한 결과, 방화벽 로그기록이 남아있는 기간(’24.12.3.∼’25.4.24.)에는 자료유출이 없었으며, 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(’22.6.15.∼’24.12.2.)의 자료 유출 여부가 현재까지는 확인되지 않았다.

조사단은 앞으로도 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우 이를 투명하게 공개하고 사업자로 하여금 신속히 대응토록 하는 한편 정부 차원의 대응책도 강구해 나갈 계획이다.

한편, 조사단은 6월까지 SK텔레콤 서버 시스템 전체를 강도 높게 점검한다는 목표하에, ▲초기 발견된 BPFDoor 감염 여부 확인을 위한 리눅스 서버 집중 점검 ▲BPFDoor 및 타 악성코드 감염 여부 확인을 위해 리눅스 포함 모든 서버로 점검 대상을 확대하는 방식으로 조사를 진행하고 있다.