SKT 해킹사태 2차 조사 결과 발표, ‘감염서버 23대·악성코드 25종’ 민관합동조사단, 개인정보 임시 저장 서버 2대의 악성코드 감염사실 확인 SK텔레콤(SKT) 침해사고의 현재까지 조사 결과 악성코드는 25종, 감염서버는 23대로 확인됐다. SKT 침해사고 민관합동조사단(이하 조사단)은 19일 서울정부종합청사에서 ‘SKT 침해사고 관련 민관합동조사단 중간 조사 결과’를 발표했다. 지난 4월 29일 1차 발표에 이은 2차 발표다.1차 발표에서 조사단은 유출 유심 정보 규모가 9.82GB(기가바이트), 가입자식별키(IMSI) 기준 2천696만 건에 달한다고 알렸다. 조사단은 6월까지 SKT 서버 전체를 강도 높게 점검한다는 목표를 세웠다. 이에 1단계로 초기 BPFDoor(이하 BPF) 감염 여부 확인을 위한 리눅스 서버를 집중 점검하고, 이후 2단계로는 리눅스 포함 모든 서버로 점검 대상을 확대하며 BPF 및 타 악성코드 감염 여부를 확인하는 식으로 조사를 진행 중이다. 이번 발표는 SKT의 리눅스 서버 3만여 대에 대한 4차례 점검(1차 4월 19~24일, 2차 4월 23~30일, 3차 5월 3~8일, 4차 5월 8~14일)을 통해 실시된 1단계 결과를 정리한 것이다. 1~3차 점검은 SKT의 자체 점검 결과를 조사단이 검증하는 방식으로 이뤄졌고, 4차 점검은 조사단이 한국인터넷진흥원(KISA)의 인력을 지원받아 직접 조사했다. 19일까지 총 23대의 서버 감염을 확인해 15대에 대한 포렌식과 같은 정밀 분석을 완료했다. BPF 계열 악성코드 24종과 웹셸 1종을 발견해 조치했고, 5차 점검에서는 잔여 8대 서버 분석과 타 악성코드 탐지 및 제거를 진행할 계획이다.조사단은 6천 110개 행정부처·공공기관·기업 등에 4월 25일과 이달 3일에는 악성코드 특성 정보를, 12일에는 국내외 알려진 BPF 계열 악성코드 모두를 탐지할 수 있는 툴의 제작 장법을 안내해 피해 확산을 방지하고자 했다. 분석이 완료된 15대 서버 중 통합고객인증 서버와 연동되는 서버 2대를 확인했고, 자료 유출 여부에 대한 추가적인 조사도 실시했다. 해당 서버에는 고객인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 저장돼 있었다. 조사단은 침해사고 발생 후 복제폰으로 인한 피해 우려로 IMEI 유출에 대한 국민적 관심이 높았음을 주목하고, IMEI가 저장된 38대 서버를 집중 점검한 결과 악성코드가 감염되지 않았음을 지난 1차 조사 결과 발표에서 전했다. 이후 악성코드가 감염된 서버에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시 저장되는 파일 안에 IMEI를 비롯한 개인정보가 포함되고 있음을 확인한 것이다. 조사단장을 맡고 있는 과학기술정보통신부 최우혁 정보보호네트워크정책관은 “해당 서버의 저장된 파일에 총 29만 1천831건의 IMEI가 포함돼 있었다”라며 “정밀조사 결과 방화별 로그기록이 남아있는 2024년 12월 3일~올해 4월 24일까지는 자료유출이 없었으나, 전문가들이 포렌식을 통해 최초 악성코드가 설치된 시점으로 확인한 2022년 6월 15일부터 로그기록이 남아있지 않은 2024년 12월 2일까지의 자료유출 여부는 현재까지 확인되지 않았다”라고 설명했다. 조사단은 이달 11일 개인정보가 저장된 서버들을 확인한 즉시 SKT에 자료 유출 가능성을 확인하고 국민 피해를 예방할 수 있는 조치를 강구하라고 요구했다. 또한 개인정보보호위원회의 정밀한 조사가 필요한 사항이라 보고, 13일 개인정보 포함 사실을 통보한 후 16일 서버 자료를 공유했다.최우혁 정보보호네트워크정책관은 “조사단은 향후 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우 이를 투명하게 공개하고, 사업자(SKT)로 하여금 신속히 대응하도록 할 것”이라며 “정부 차원의 대응책도 강구해나가겠다”라고 말했다. 과학기술정보통신부 류제명 네트워크 정책실장은 “정부는 SKT 해킹 사태 대응에 있어 ▲철저한 조사 ▲투명성 ▲조사 및 분석상 불가피한 경우가 아니라면 정보주체인 국민에 먼저 알리고 피해방지 대책과 방안 강구라는 세 가지 원칙을 세워 임하고 있다”라고 강조했다. 이어, “이번에 사용된 악성코드와 공격 양태는 정교한 분석작업과 노력을 요구한다”라며 “잠재된 위험을 끝까지 파헤치지 않으면 앞으로도 큰 위험이 있을 수 있다는 판단하에 강도 높은 조사를 실시하고 있다”라고 덧붙였다. 그는 “특히 선거 기간에 있어 증가할 수 있는 사이버 공격에 대한 정부의 전체적인 대응 태세를 높이기 위해 지난 금요일(16일)부터 사이버 위기 경보 단계도 주의 단계로 상향했다”라고도 밝혔다.

SKT 해킹사태 2차 조사 결과 발표, ‘감염서버 23대·악성코드 25종’

민관합동조사단, 개인정보 임시 저장 서버 2대의 악성코드 감염사실 확인

기사입력 2025-05-19 13:36:54

[산업일보]
SK텔레콤(SKT) 침해사고의 현재까지 조사 결과 악성코드는 25종, 감염서버는 23대로 확인됐다.

SKT 침해사고 민관합동조사단(이하 조사단)은 19일 서울정부종합청사에서 ‘SKT 침해사고 관련 민관합동조사단 중간 조사 결과’를 발표했다. 지난 4월 29일 1차 발표에 이은 2차 발표다.

1차 발표에서 조사단은 유출 유심 정보 규모가 9.82GB(기가바이트), 가입자식별키(IMSI) 기준 2천696만 건에 달한다고 알렸다.

조사단은 6월까지 SKT 서버 전체를 강도 높게 점검한다는 목표를 세웠다. 이에 1단계로 초기 BPFDoor(이하 BPF) 감염 여부 확인을 위한 리눅스 서버를 집중 점검하고, 이후 2단계로는 리눅스 포함 모든 서버로 점검 대상을 확대하며 BPF 및 타 악성코드 감염 여부를 확인하는 식으로 조사를 진행 중이다.

자료=과학기술정보통신부

이번 발표는 SKT의 리눅스 서버 3만여 대에 대한 4차례 점검(1차 4월 19~24일, 2차 4월 23~30일, 3차 5월 3~8일, 4차 5월 8~14일)을 통해 실시된 1단계 결과를 정리한 것이다.

1~3차 점검은 SKT의 자체 점검 결과를 조사단이 검증하는 방식으로 이뤄졌고, 4차 점검은 조사단이 한국인터넷진흥원(KISA)의 인력을 지원받아 직접 조사했다.

19일까지 총 23대의 서버 감염을 확인해 15대에 대한 포렌식과 같은 정밀 분석을 완료했다. BPF 계열 악성코드 24종과 웹셸 1종을 발견해 조치했고, 5차 점검에서는 잔여 8대 서버 분석과 타 악성코드 탐지 및 제거를 진행할 계획이다.

조사단은 6천 110개 행정부처·공공기관·기업 등에 4월 25일과 이달 3일에는 악성코드 특성 정보를, 12일에는 국내외 알려진 BPF 계열 악성코드 모두를 탐지할 수 있는 툴의 제작 장법을 안내해 피해 확산을 방지하고자 했다.

분석이 완료된 15대 서버 중 통합고객인증 서버와 연동되는 서버 2대를 확인했고, 자료 유출 여부에 대한 추가적인 조사도 실시했다. 해당 서버에는 고객인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 저장돼 있었다.

조사단은 침해사고 발생 후 복제폰으로 인한 피해 우려로 IMEI 유출에 대한 국민적 관심이 높았음을 주목하고, IMEI가 저장된 38대 서버를 집중 점검한 결과 악성코드가 감염되지 않았음을 지난 1차 조사 결과 발표에서 전했다.

이후 악성코드가 감염된 서버에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시 저장되는 파일 안에 IMEI를 비롯한 개인정보가 포함되고 있음을 확인한 것이다.

과학기술정보통신부 최우혁 정보보호네트워크정책관(이미지=e브리핑 캡처)

조사단장을 맡고 있는 과학기술정보통신부 최우혁 정보보호네트워크정책관은 “해당 서버의 저장된 파일에 총 29만 1천831건의 IMEI가 포함돼 있었다”라며 “정밀조사 결과 방화별 로그기록이 남아있는 2024년 12월 3일~올해 4월 24일까지는 자료유출이 없었으나, 전문가들이 포렌식을 통해 최초 악성코드가 설치된 시점으로 확인한 2022년 6월 15일부터 로그기록이 남아있지 않은 2024년 12월 2일까지의 자료유출 여부는 현재까지 확인되지 않았다”라고 설명했다.

조사단은 이달 11일 개인정보가 저장된 서버들을 확인한 즉시 SKT에 자료 유출 가능성을 확인하고 국민 피해를 예방할 수 있는 조치를 강구하라고 요구했다. 또한 개인정보보호위원회의 정밀한 조사가 필요한 사항이라 보고, 13일 개인정보 포함 사실을 통보한 후 16일 서버 자료를 공유했다.

최우혁 정보보호네트워크정책관은 “조사단은 향후 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우 이를 투명하게 공개하고, 사업자(SKT)로 하여금 신속히 대응하도록 할 것”이라며 “정부 차원의 대응책도 강구해나가겠다”라고 말했다.

과학기술정보통신부 류제명 네트워크 정책실장(이미지=e브리핑 캡처)

과학기술정보통신부 류제명 네트워크 정책실장은 “정부는 SKT 해킹 사태 대응에 있어 ▲철저한 조사 ▲투명성 ▲조사 및 분석상 불가피한 경우가 아니라면 정보주체인 국민에 먼저 알리고 피해방지 대책과 방안 강구라는 세 가지 원칙을 세워 임하고 있다”라고 강조했다.

이어, “이번에 사용된 악성코드와 공격 양태는 정교한 분석작업과 노력을 요구한다”라며 “잠재된 위험을 끝까지 파헤치지 않으면 앞으로도 큰 위험이 있을 수 있다는 판단하에 강도 높은 조사를 실시하고 있다”라고 덧붙였다.

그는 “특히 선거 기간에 있어 증가할 수 있는 사이버 공격에 대한 정부의 전체적인 대응 태세를 높이기 위해 지난 금요일(16일)부터 사이버 위기 경보 단계도 주의 단계로 상향했다”라고도 밝혔다.