SK텔레콤 해킹 사태로 인해 가입자식별칩(USIM) 복제에 활용될 수 있는 주요 정보가 유출된 것으로 공식 확인됐다. 또한 가입자 인증에 쓰이는 단말기 고유식별번호(IMEI)는 유출이 안된 것으로 밝혀졌다.

민관합동조사단은 29일 SK텔레콤에서 유출된 정보를 확인한 결과 전화번호 가입자식별키(IMSI) 등 유심 복제에 활용될 수 있는 4종과 유심 정보 처리 등에 필요한 SK텔레콤 자체 관리용 정보 21종이 빠져나갔다고 밝혔다.

다만 조사단은 “단말기 고유식별번호(IMEI) 유출은 없었다”며 “이에 따라 현재 SKT가 시행 중인 유심보호서비스에 가입하는 경우 이번에 유출된 정보로 유심을 복제해 다른 휴대전화에 꽂아 불법적 행위를 하는 이른바 ‘심스와핑’이 방지된다”고 설명했다. 그러면서 명의자가 쓰던 기기가 아닌 다른 기기에서 탈취한 명의로 통신서비스를 접속하려 할 경우 이를 차단하는 유심보호서비스 가입을 적극 권장했다.

통신·보안업계에 따르면 유심에는 △전화번호 △유심 인증키 △이동가입자식별번호(IMSI) △유심 카드 식별자(ICCID) △서비스 가입 정보가 들어있다. 통신사는 IMEI와 IMSI 두 정보를 확인해 통신망에 접속한 단말기의 정상 가입자 여부를 인증한다.

조사단은 SKT가 공격받은 정황이 있는 서버 3종, 5대를 조사했고 기타 중요 정보들이 포함된 서버들에 대해 조사를 확대 중이라고 밝혔다.

조사단은 해킹 사건 조사 과정에서 침투에 사용된 BPF도어(BPFDoor) 계열의 악성코드 4종을 발견했다고 밝혔다. 이 공격 수법은 리눅스 운영체제에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF(Berkeley Packet Filter)를 악용한 백도어라는 설명이다. 은닉성이 높아 해커의 통신 내용을 탐지하기 어려운 특징이 있다.

보안업계에 따르면 이 백도어는 중국 기반 해커그룹 ‘레드멘션’이 주로 사용한다. 레드멘션은 아시아와 중동지역 내 통신 금융 소매 등 주요 산업군을 타깃으로 사이버 스파이 활동을 벌이는 것으로 알려졌다.

이런 가운데 개인정보보호위원회는 이번 해킹 사고를 이전에 발생한 통신사 개인정보 유출사고보다 심각하게 보고 있는 것으로 나타났다.

최장혁 개인정보보호위 부위원장은 29일 SKT의 해킹 사고와 관련해 “메인서버에서 (개인정보) 유출이 있었다고 본다”며 “우리나라 1위 통신사의 메인서버가 해킹당했다는 자체가 굉장히 상징적”이라고 말했다.

그는 “(해킹된) 유심에 담긴 개인정보가 어느 정도 되는지와 유심을 보관하던 메인서버에 적절한 안전 조치가 이뤄졌는지를 중점으로 보고 있다”고 덧붙였다.

최 부원장은 특히 “ 기본적으로 LG유플러스(개인정보 유출) 때와는 차원이 많이 다를 것”이라며 “LG유플러스는 개인정보보호법 개정 전이었기에 (SKT의) 과징금 액수는 그보다 굉장히 높을 가능성이 있다”고 말했다.

앞서 개인정보위는 2023년 7월 약 30만건의 고객정보를 유출한 LG유플러스에 68억원을 부과한 바 있다.

당시 개인정보보보호법에서는 과징금 상한액을 ‘위법행위와 관련된 매출액의 3%’로 했지만 재작년 9월 법 개정 이후에는 ‘전체 매출액의 3%’로 조정하되 위반행위와 관련 없는 매출액은 제외하도록 했다.

한편 무상 유심 교체를 진행 중인 SKT는 유심 재고 부족 등을 해결하기 위해 다음 달 중순부터 ‘유심 초기화’를 실시하기로 했다.

유심 초기화는 유심에 들어있는 정보를 소프트웨어로 초기화한 뒤 해킹되지 않은 새 정보를 주입하는 것을 말한다.

고성수 기자 ssgo@naeil.com