복제폰 생성 가능성 거의 없다지만…보안조치 미흡 책임론 못 피할듯

[디지털데일리 강소현 오병훈기자] 최근 SK텔레콤에서 발생한 해킹사고와 관련, 단말기고유식별번호(IMEI) 유출 가능성이 다시 제기됐다. 민간합동조사단(이하 조사단)의 2차 조사결과 IMEI가 포함된 서버 2대가 악성코드에 추가로 감염된 사실이 밝혀지면서다.

최초 악성코드가 설치된 2022년6월15일부터 약 2년 넘는 기간 동안의 유출 여부를 조사할 방화벽 로그기록 조차 남아있지 않아 조사엔 난항이 예상된다. 이에 대해 SK텔레콤은 파악한 데이터상 IMEI 유출은 없다는 확고한 입장이지만, 정부는 노출된 IMEI 기반의 복제폰 생성은 불가하다라면서도 혹시모를 유출 가능성을 열어두고 있는 상황이다.

사고 경위와 관련해 ‘웹셸’도 새로운 화두로 떠올랐다. 조사단은 웹셸 이후 BPF도어(BPFDoor) 악성코드가 설치됐다고 밝혀져 임시서버와 관련한 SK텔레콤의 보안 조치가 미흡했다는 지적은 불가피할 전망이다.

◆ 정부 “SKT, IMEI 유출 가능성 있지만 복제폰 생성은 불가”…배후엔 中 해커 조직 거론

과학기술정보통신부(이하 과기정통부)는 19일 SK텔레콤 침해사고와 관련한 조사단의 2차 조사결과를 발표했다. 지난달 29일 1차 발표 이후 한달여 만이다.

이번 조사결과에 따르면, 기존 홈가입자서버(HSS) 외 다른 서버에서도 악성코드가 발견됐다. 지난달 29일 1차 발표 이후 공격을 받은 정황이 있는 서버가 추가로 18대 식별되어 누적 감염서버는 총 23대로 집계됐다.

추가 감염서버는 통합고객인증 서버와 연동된 서버들이었다. 이 서버들에는 고객 인증을 목적으로 호출된 IMEI와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 있는 것으로 나타났다.

IMEI 정보 유출 여부는 확인되지 않았다. 조사단은 해당 서버의 저장된 파일에 총 29만1831건의 IMEI가 포함된 사실을 확인했으며, 기록이 남아있는 기간(2024년12월3일∼2025년4월24일)에는 자료유출이 없었다고 밝혔다.

문제는 방화벽 로그기록이 남아있지 않은 기간이었다. 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(2022년6월15일∼2024년12월2일)의 자료 유출 여부는 현재까지 확인되지 않았다. 즉, 해당 기간 IMEI 유출 가능성을 배제할 수 없는 상황이다.

이동근 KISA 디지털위협대응본부장은 이날 오전 진행된 ‘SK텔레콤 침해사고 관련 민관합동조사단 중간 조사 결과’ 브리핑에서 “개인정보를 저장·처리하는 내용이 법적으로 정해져있는데, 일단 사업자 측에서 그런 기준을 적용하지 않은 것 같다”라며 “로그가 4~5개월 정도밖에 보관이 안 돼 있던 걸로 판단하고 있고, 최초 시점하고 연결 짓는 로그가 부재하다”라고 설명했다.

로그가 부재한 기간에 대해선 “현실적으로는 로그가 없으면 (정보 유출 여부를) 판단하기가 굉장히 어려운 점이 있다”라며 “관련해선 다각적으로 (대응방안을) 검토하고 있다”라고 밝혔다.

다만, 정부는 이번 유출에 대해 복제폰 생성 등의 2차 피해를 우려할 필요 없다는 입장이다. IMEI 유출에 따른 복제폰 생성은 불가하다는 설명이다.

류제명 과학기술정보통신부(이하 과기정통부) 네트워크정책실장은 “단말과 숫자를 인증하는 인증키 값을 제조사가 가지고 있기 때문에 (IMEI) 열다섯 자리 숫자가 복제됐다 해서 복제폰 생성이 가능하지는 않다라는 해석을 제조사로부터 들었다”라며 “그동안의 피해 사례나 모니터링하면서 상당히 높은 수준의 경계 상태를 유지해왔는데 피해가 발생하지 않았으며 현재 작동하고 있는 기술적 시스템 등을 감안할 때 큰 우려는 안해도 된다”고 말했다.

또 “5월11일 개인정보 등이 저장된 문제의 서버들을 확인한 즉시 (사업자에) 조치를 강구하라고 요구했다”라며 “그 요구에 대한 반응으로 비정상인증시도 차단(FDS) 2.0 고도화 작업을 앞당겨 적용한 것으로 이해하고 있다”고 부연했다.

악성코드가 최초 설치된 시점은 2022년 6월로, 시점인 이번에 새롭게 발견된 악성코드인 웹셸을 통해 추정된 것으로 알려졌다. 현재까지 발견·조치된 악성코드는 웹셸을 1종을 포함해 총 25종(BPFDoor계열 24종 + 웹셸 1종)으로 확인됐다.

웹셀은 임시서버의 취약성을 이용한 악성코드다. 프로그램이 업로드되어 원격에서 서버를 제어하는 방식으로, 임시서버에 대한 보안 조치가 미흡했다는 사실을 반증한다는 게 보안업계의 중론이다.

이동근 KISA 디지털위협대응본부장은 “웹셸이 최초 감염 시점하고 연관되어 있는 부분이 있다”라며 “최초로 웹셸이 설치되고 그 이후 BPF도어(BPFDoor) 악성코드가 설치된 순서”라고 설명했다.

배후는 아직 특정되지 않았다. 다만, 정부는 이번 사고가 기존 악성코드 공격의 양상과는 다르다고 보고 있다.

글로벌 보안업체 트렌드마이크로가 지난달 발표한 보고서에 따르면 중국 정부의 지원을 받는 해커조직 '레드멘션'이 한국의 통신사를 지난해 7월과 12월 두차례에 걸쳐 침투했다고 밝힌 바 있다. 정부도 이번 해킹이 단순 자료 탈취 목적인지 다음 단계 공격 거점을 위해 침투한 것인지 혹은 과시성 목적인지 등 다각도로 들여다보겠 다는 입장이다.

류제명 실장은 “이번에 사용된 악성코드와 공격 양상을 보면 지금까지 봐 온 것보다 정교한 분석과 노력이 필요하다”라며 “잠재된 위험을 끝까지 파헤치지 않으면 앞으로도 큰 위험이 있을 수 있어 강도높은 조사를 진행하고 있다”고 말했다.

◆SKT “추가 유출 없다” 재차 강조…12월3일 이전 ’로그 공백’은 “저장주기 때문”

정부 발표에 SK텔레콤은 재차 “추가 유출은 없다” “복제폰 피해가 발생하더라도 100% 책임 지겠다”는 입장을 강조하고 나섰다. 현재 SK텔레콤이 보유 중인 가입자 데이터와 서버 등을 종합적으로 살펴봤을 때, IMEI나 개인정보(이름 생년월일 등) 유출은 확인되지 않았다는 것이다.

구체적으로, SK텔레콤은 통합보안 관제를 위해 ‘네트워크 감지 및 응답(NDR)’ 시스템과 더불어 서버 간 방화벽 등을 구동 중인데, 거기서 추출된 로그 기록 등을 확인한 결과 추가적인 정보 유출 정황은 나타나지 않았다는 설명이다.

류정환 SK텔레콤 네트워크인프라센터장은 이날 함께 열린 SK텔레콤 일일브리핑에서 “18일 발생한 사고도 SK텔레콤의 침해 센싱이 작동해 먼저 인지하고 신고한 것”이라며 “이전 데이터에서도 침해 정황이 확인되지 않았다는 점을 비춰봤을 때 추가 유출은 없는 것으로 보고 있다”고 말했다.

이에 따라 SK텔레콤은 정부 발표를 통해 일각에서 제기되고 있는 29만건 IMEI 데이터 및 개인정보 데이터 유출 가능성과 관련해 ‘확인되지 않았다’고 일축했다.

아울러 오늘 정부에서 유출이 없는 것으로 확인한 로그데이터 기간(지난해 12월3일~4월24일) 이전에도 유출됐을 가능성은 낮다는 분석도 덧붙였다. 이전 기간에도 유출 때와 같은 수준의 통합보안관제가 작동하고 있었으며, 만일, 기록이 없는 기간에 침해가 있었다면, 그때 센싱을 통해 해킹 사실을 인지했을 것이란 설명이다.

지난해 12월3일 이전 로그 데이터가 없었던 이유와 관련해서는 일반 사용자 접속 로그 데이터 등은 관리자 접속 데이터 등과 달리 법적인 의무가 없었기 때문에, 관련 데이터는 주기적으로 정리하기도 했다는 설명이다.

류 센터장은 “법적으로 관리자나 개발자 접속 로그 데이터 경우에는 1~2년 동안 보관해야 하고 일반 사용자가 접속을 한다는 것에 대해서는 별도 보관하는 기준이 없다”며 “이런 데이터 보관 관련 문제도 향후 면밀히 검토해 문제를 해결할 수 있도록 하겠다”고 말했다.

관련해 이동근 KISA 디지털위협대응본부장은 같은날 정부 브리핑에서 “개인정보를 저장·처리하는 내용이 법적으로 정해져있는데, 일단 사업자 측에서 그런 기준을 적용하지 않은 것 같다”라며 “로그가 4~5개월 정도밖에 보관이 안 돼 있던 걸로 판단하고 있고, 최초 시점하고 연결 짓는 로그가 부재하다”라고 설명했다.

김희섭 SK텔레콤 PR센터장은 “5개월 기록이 남아있는 동안 유출되지 않은 것은 확인됐다”며 “정부는 로드 데이터를 기반으로 하기에 시각의 차이가 다를 수 있지만, 5개월 전까지의 기록은 없기 때문에 확인될 수 없다는 것이지, 가능성을 말씀하신 것은 아니다. (IMEI 유출은) 확인되지 않았다”고 덧붙였다.

더불어 악성코드 종류가 25종으로 늘어난 것은 침입자가 서버 침투 이후 활동하면서 남긴 증적이 추가로 발견된 것이 SK텔레콤 분석이다. 즉, 이전 발표에 확인된 침해 사실에서 파생된 추가적인 활동 흔적이라는 것이다.

류 센터장은 “모든 서버는 격리조치 됐으며, 설령 최악의 시나리오를 가정해 해커가 IMEI 정보를 탈취했다고 하더라도, 제조사가 따로 보관하고 있는 키값, 단말 정보 등이 없는 한 복제폰이 만들어질 수 는 없다는 것이 제조사 측의 설명”이라고 강조했다.

아울러 SK텔레콤은 복제폰이 제작된 이후 상황까지 상정해 FDS 고도화 작업도 일찍 앞당겨 마무리 지었다는 점을 강조했다. SK텔레콤은 지난 18일 오전 4시부로 고도화된 FDS 시스템 ‘FDS2.0’을 도입한 바 있다.

류 센터장은 “단말기가 망에 접속하면 정상인지 확인하고, 단말기 유심이 정상인지 확인하게 된다. IMEI 외에도 단말 특성 등을 파악해 복제폰 등 접속을 차단할 수 있는 기술을 적용했다”며 “FDS부터 유심보호서비스, 유심교체 3중으로 대응 지속하고 있으며, 차후 복제폰 등을 통해 발생하는 모든 책임은 SK텔레콤에서 지겠다”고 강조했다.

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지