한숨 돌린 SKT···정부 "단말기 고유 번호 유출 없어"

SK텔레콤 가입자 정보 유출 사건을 수사 중인 정부가 가입자 전화번호, 가입자식별키(ISMI) 등 유심(USIM) 복제에 활용될 수 있는 정보 4종 등의 유출을 확인했다. 다만 단말기 고유식별번호(IMEI) 유출은 없는 것으로 확인하면서, 복제한 유심을 다른 휴대전화에 꽂아 불법 행위에 악용하는 이른바 '심스와핑' 우려는 없는 것으로 파악됐다.

과학기술정보통신부(이하 과기정통부)는 SK텔레콤 해킹 사건 조사를 위해 꾸려진 민관합동조사단의 지난 1주일간 조사를 토대로 1차 분석 결과를 29일 발표했다.

민관합동조사단이 SK텔레콤에서 유출된 정보를 확인한 결과, 가입자 전화번호, 가입자 식별키(ISMI) 등 유심 복제에 활용될 수 있는 4종과 유심 정보 처리 등에 필요한 SK텔레콤 자체 관리용 정보 21종이 빠져나갔다. 단 이 목록에 단말기 고유식별번호(IMEI)는 없었다. 가입자 고유번호인 IMSI는 빠져나갔지만, 단말 고유 번호인 IMEI는 유출되지 않아 두 정보를 조합해야 가능한 유심 복제가 불가능하다는 얘기다.

조사단은 "이에 따라 현재 SK텔레콤이 시행 중인 유심 보호 서비스에 가입하는 경우 이번에 유출된 정보로 유심을 복제해 다른 휴대전화에 꽂아 불법적 행위를 하는 이른바 '심 스와핑'이 방지된다"고 말했다.

다만 일각에서는 SK텔레콤 해커가 다른 탈취 정보와 이번 해킹에서 빼돌린 유심 정보를 조합하면 스미싱 공격을 감행할 수 있다는 우려도 나온다.

스미싱 시도를 감시 중인 한국인터넷진흥원(KISA)은 "현재까지 해당 공격 사례는 발견되지 않았다"면서도 "휴대전화 재부팅을 요구하는 피싱 메시지가 오면 절대 따르지 말고 신고해 달라"고 당부했다.

조사단은 현재 SK텔레콤이 공격받은 정황이 있는 서버 3종, 5대를 조사했고 기타 중요 정보들이 포함된 서버들에 대해 조사를 확대 중이다. 또 해킹 사건 조사 과정에서 침투에 사용된 BPF도어(BPFDoor) 계열의 악성코드 4종을 발견했다.

이 공격 수법은 리눅스 운영체제에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF(Berkeley Packet Filter)를 악용한 백도어라는 설명이다. 은닉성이 높아 해커의 통신 내용을 탐지하기 어려운 특징이 있다.

SK텔레콤이 국회 과학기술정보방송통신위원장인 최민희 의원(더불어민주당)에게 제출한 자료에 따르면 이번 해킹으로 유출된 정보는 이미지, 영상 정보가 아닌 텍스트 데이터로 9.7기가바이트(GB)에 달한다.

가입자 1명당 유심 정보량 144킬로바이트(KB)로 나누면 무려 6736만명분이지만 그렇다고 이 데이터 유출분에 전체 가입자 2300만명의 유심 정보가 모두 포함됐다고 단정하기는 어렵다. SK텔레콤이 가입자 정보를 분산한 서버 총 14대 가운데 일부인 3대에서만 유출이 이뤄졌기 때문이다.

최 위원장실에 따르면 인터넷망으로 침입한 해커는 각각의 방화벽을 뚫고 SK텔레콤 사내망을 거쳐 관리망까지 뚫은 뒤 가장 심층부인 내부망에 접근한 것으로 파악됐다.

한편, 과방위 소속 최수진 국민의힘 의원에 따르면 SK텔레콤은 해킹 인지 직후 자체 포렌식에 착수했으나 실패한 것으로 전해졌다. 해커가 침입 경로 등의 흔적을 모두 지우고 빠져나가 자체 조사에 난항을 겪은 탓이다. 이후 과기정통부가 꾸린 민관합동조사단이 포렌식을 진행 중이다. 조사단 관계자는 "사업자도 이상 징후를 발견하고 확인 작업했을 것으로 보이나 조사 시 움직인 데이터, 조치의 적합성 등은 모두 진상 조사의 영역"이라고 말했다.