SK텔레콤 해킹 사건을 조사 중인 민관합동조사단이 최초 악성코드 감염이 3년 전인 2022년 6월 이뤄졌다는 2차 조사 결과를 발표했다. SK텔레콤이 지난 3년 간 해킹 사실을 감지하지 못했던 것이다. 또 단말기 고유식별번호(IMEI)와 개인정보를 저장하는 서버가 공격받은 정황도 새로 확인하면서 유출 피해 우려가 더욱 커졌다.

과학기술정보통신부는 19일 정부서울청사에서 브리핑을 열고 이같은 내용의 2차 조사 결과를 내놨다. 1차 조사에서 악성코드에 감염된 것으로 확인된 서버는 5대로 이 가운데 홈가입자서버(HSS) 3대에서 유심 정보를 포함한 25종의 정보 유출이 확인됐는데, 2차 조사에서 감염 서버가 18대 더 발견됐다. 해킹 공격을 받은 서버가 총 23대로 늘어난 것이다.

특히 이번에 확인된 서버 중 2대는 개인정보가 일정 기간 임시로 관리되는 서버로 파악됐다. 이에 따라 IMEI를 비롯한 개인정보 유출 가능성이 처음 거론됐다. 과기정통부 관계자는 “조사단은 분석이 완료된 15대 서버 중 개인정보 등을 임시로 저장하는 서버 2대를 확인해 추가 조사를 실시했다”며 “고객 인증을 목적으로 통합고객인증 서버와 연동되는 해당 서버에 IMEI 29만1831건과 이름·생년월일·전화번호·이메일 등 개인정보가 포함된 사실을 확인했다”고 밝혔다.

IMEI가 탈취됐을 경우 복제 유심을 활용해 범죄에 악용하는 ‘심 스와핑’ 피해로 이어질 수 있다. 다만 조사단은 2차례에 걸친 정밀 조사 결과 방화벽 로그기록이 남아있는 지난해 12월 3일부터 지난달 24일까지 데이터 유출이 없었다는 점을 확인했다. 그러나 악성코드가 최초로 설치된 2022년 6월 15일부터 지난해 12월 2일까지의 유출 여부는 확인하지 못했다. 조사단은 개인정보보호위원회에서 정밀 조사가 필요한 사항이라 보고 개보위에 조사 결과를 통보했다.

SK텔레콤은 이번 정보 탈취로 인한 복제폰 우려는 과도하다는 입장이다. SK텔레콤 측은 “비정상인증차단시스템(FDS)을 버전2.0으로 고도화해 복제폰이 SK텔레콤 망에 접속하는 것을 차단하고 있다”고 했다.


장은지 기자 jej@donga.com
최지원 기자 jwchoi@donga.com