유심정보 25종 유출···IMSI 기준 2696만건2022년 단서 찾았음에도, 신고하지 않아관리서버 계정정보·유심 인증키 값 암호화 안해
'SKT 해킹 관련 5차 TF 회의' 관계자들이 4일 오전 서울 여의도 국회 과학기술정보방송통신위원회 소회의실에서 열린 비공개 회의에 참석하기 위해 회의실로 입장하고 있다. 사진=강민석 기자 kms@newsway.co.kr
조사단은 지난 4월 23일부터 지난달 27일까지 SK텔레콤 전체 서버 4만2605대를 대상으로 BPFDoor 및 타 악성코드 감염여부에 대해 강도 높은 조사를 시행했다. 또 조사 과정에서 확인된 감염서버는 포렌식 등 정밀분석을 통해 정보유출 등 피해발생 여부를 파악했다.
조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과, BPFDoor 27종을 포함한 악성코드 33종을 확인했다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82GB, IMSI 기준 약 2696만건이었다.
조사단은 감염서버 중 단말기식별번호(IMEI), 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 평문으로 임시 저장된 서버 2대와 통신기록(CDR)이 평문으로 임시 저장된 서버 1대를 발견했지만, 자료유출 정황은 발견하지 못했다.
조사단은 이번 해킹 사태를 야기한 데에는 ▲계정정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 등 SK텔레콤의 과실이 크다고 판단했다.
SK텔레콤은 서버 로그인 ID, 비밀번호를 안전하게 관리해야 하나 이번 침해사고에서 감염이 확인된 HSS 관리서버 계정정보를 타 서버에 평문으로 저장했다. 또 유출 정보 중 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값을 암호화하지 않고 저장했다.
특히 2022년 2월 23일 발생한 특정 서버의 비정상 재부팅 조사 중 악성코드에 감염된 서버를 발견했으나 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)에 따른 신고 의무를 이행하지 않았다. 당시 이번 침해사고에서 감염이 확인된 HSS 관리서버에 비정상 로그인 시도가 있었던 정황도 감지했으나, 제대로 대응하지 않아 공격자가 서버에 접속한 기록을 확인하지 못했다.
과기정통부는 이런 결과를 종합할 때 이번 침해사고가 SK텔레콤 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다.
유상임 과기정통부 장관은 "이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보보호에 경종을 울리는 사고였다"며 "SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 둬야 할 것"이라고 강조했다.

뉴스웨이 강준혁 기자
junhuk210@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
댓글