SK텔레콤 유심정보 침해사고와 관련해 악성코드가 감염된 서버 18개와 악성코드 21종이 추가로 확인됐다. 또 단말기 고유식별번호(IMEI)를 비롯한 개인정보가 임시로 저장되는 서버도 감염된 것으로 나타났다.

SKT 침해사고 민관합동조사단은 지난 4월 29일 1차 발표에 이어 지금까지의 조사결과를 바탕으로 2차 결과를 19일 발표했다.

조사단은 19일 현재 총 23대의 서버 감염을 확인해 15대에 대해 정밀분석을 완료하고 잔여 8대에 대한 분석을 진행함과 동시에 모든 서버를 대상으로 5차 점검을 진행하고 있다고 밝혔다. 현재까지 악성코드는 25종(BPFDoor계열 24종 + 웹셸 1종)을 발견•조치했다. 이에 따라 1차별표와 비교해 감염서버는 18대, 악성코드는 21종이 증가했다.

조사단은 현재까지 감염된 23대 가운데 15대는 정밀분석을 완료하고 8대는 5월말까지 분석을 완료한다는 계획이다.

이런 가운데 조사단은 분석을 완료한 서버 15대 가운데 개인정보 등을 저장하는 2대가 포함됐다고 밝혔다.

이 서버는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 IMEI와 다수의 개인정보(이름·생년월일·전화번호·이메일 등)를 저장한다. 조사단은 이 서버에 29만1831건의 IMEI가 포함된 사실을 확인했다.

조사단은 “2차에 걸쳐서 정밀조사한 결과 방화벽 로그기록이 남아있는 기간(2024년 12월 3일~2025년 4월 24일)에는 자료유출이 없었다”며 “다만 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(2022년 6월 15일~2024년 12월 2일)의 자료유출 여부가 현재까지는 확인되지 않았다”고 설명했다. 또 “조사 초기 IMEI가 저장된 38대 서버 악성코드 여부를 집중적으로 점검해 감염되지 않음을 확인하고 1차 조사결과를 발표한 바 있다”며 “이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있음을 확인했다”고 덧붙였다.

조사단은 이 같은 사실을 13일 개인정보보호위원회에서 통보하고 사업자 동의를 얻어 조사단에서 확보한 서버자료도 공유했다.

한편 조사단은 1차 조사결과에서 발표한 유출된 유심정보 규모가 9.82기가바이트(GB)로 가입자식별키(IMSI) 기준 2695만7749건이라고 밝혔다.

조사단은 “현재까지 SKT의 리눅스 서버 3만여대에 대해 4차례에 걸친 점검을 진행했다”며 “특히 4차 점검은 국내외 알려진 BPFDoor 악성코드 변종 202종을 모두 탐지할 수 있는 툴을 적용했다”고 설명했다.

1~3차 점검은 SKT가 자체 점검 후 조사단이 이를 검증하는 방식으로 진행했고 4차 점검은 조사단이 한국인터넷진흥원(KISA) 인력을 지원받아 직접 조사를 진행했다.

고성수 기자 ssgo@naeil.com