▲ 28일 서울 강남구 양재동의 SKT 대리점에 유심을 교체하고자 많은 고객이 몰렸다.     ©이한수 기자

악성코드 13종 추가 발견…총 25종 조치

"IMEI 유출 확인 안돼", 일부 구간은 불확실

정부, 탐지 툴 배포·TF 운영 등 대응 강화

과학기술정보통신부는 SK텔레콤의 유심(USIM·가입자식별모듈) 정보 유출 사고와 관련해 총 13종의 악성코드를 추가로 발견해 조치했다고 밝혔다.

19일 과기정통부에 따르면, 과기정통부는 민관합동조사단의 2차 조사 결과를 발표하며 이번 조사에서 BPF도어 계열 24종과 웹셸 1종 등 총 25종의 악성코드를 확인했다고 설명했다. 이는 앞선 1차 조사 결과보다 BPF도어 계열 12종, 웹셸 1종이 추가로 늘어난 수치다.

조사단은 지난 8일부터 14일까지 일주일 동안 SK텔레콤이 운용 중인 약 3만 대의 리눅스 서버를 네 차례에 걸쳐 점검했으며, 이 중 해커의 공격 정황이 발견된 23대의 서버에서 악성코드 감염 사실을 확인했다.

이 가운데 15대에 대한 포렌식 분석을 마쳤으며 나머지 8대에 대해서는 이달 말까지 정밀 분석을 이어갈 방침이다. 특히 4차 점검에서는 BPF도어 계열의 변종 악성코드 202종을 모두 탐지할 수 있는 전용 툴을 활용한 것으로 알려졌다.

분석이 완료된 15대 중 2대는 IMEI(단말기 고유식별번호)와 개인정보를 저장하고 있는 서버로 확인됐다. 해당 서버들은 SK텔레콤의 통합고객인증 시스템과 연동돼 있으며 총 29만1831건의 IMEI 정보와 이름, 생년월일, 전화번호, 이메일 등 다수의 개인정보가 저장돼 있었던 것으로 드러났다.

다만 정부는 지난해 12월 3일부터 올해 4월 24일까지는 방화벽 로그 기록을 통해 해당 정보의 유출이 없었음을 확인했다고 밝혔다. 그러나 최초 악성코드가 설치된 2022년 6월 15일부터 로그가 남아 있지 않은 2024년 12월 2일까지의 정보 유출 여부는 여전히 확인되지 않고 있다.

과기정통부는 이번 사고에 대응해 전국의 민간 기업 약 6110곳과 정부 부처 등을 대상으로 BPF도어 계열 악성코드를 탐지할 수 있는 툴의 제작 방법을 공유하는 등 후속 조치를 시행했다고 밝혔다. 

또한 유상임 과기정통부 장관을 비롯해 통신 3사와 주요 플랫폼 기업 4개사로 구성된 보안점검 태스크포스(TF)를 지난 12일부터 운영 중이며 일일 또는 주간 단위로 보안 점검을 실시하고 있다고 설명했다.

중앙행정기관, 지방자치단체, 공공기관은 현재 국가정보원 주관 하에 보안 점검을 받고 있으며 현재까지 민간 및 공공 부문 모두에서 공식적으로 접수된 피해 사례는 없는 것으로 파악됐다.

한편, 앞서 발표된 1차 조사 결과에 따르면 유출된 유심 정보의 규모는 약 9.82GB에 달하며 가입자 식별키(IMSI) 기준 총 2695만7749건의 정보가 포함된 것으로 확인됐다.

문화저널21 배소윤 기자