SK텔레콤(SKT)에 대한 해킹공격으로 가입자 전원의 유심(USIM) 정보 및 단말기 식별정보(IMEI) 등 개인정보가 관리되는 서버까지 감염된 것으로 파악됐다. 이른바 ‘유심복제’ 우려가 높아지는 대목이다. 이 공격은 3년 전부터 이뤄졌지만 SKT에는 2년여 간의 해킹여부 및 내용을 확인할 로그기록이 남아있지 않은 것으로 나타났다.

◆서버 23대 감염, 개인정보 추가유출 우려 = SKT 해킹 사건을 조사 중인 민관합동조사단은 19일 정부서울청사에서 2차 조사 결과를 발표했다.

1차 조사 때는 악성 코드에 감염된 서버 5대 중 홈가입자서버(HSS) 3대에서 가입자 식별번호(IMSI), 인증키 등 유심 정보 4종을 포함한 25종의 정보 유출이 확인됐었는데 2차 조사 결과 감염 서버가 18대 더 발견, 총 23대가 감염된 것으로 파악됐다. 이 가운데 15대는 포렌식 등 정밀 분석이 끝났지만 나머지 8대에 대해서는 분석이 진행 중이다.

감염 서버 중 2대는 이름·생년월일·전화번호·이메일 등 휴대전화 가입 시 남기는 개인정보가 일정 기간 임시로 관리되는 서버로 조사됐다. 특히 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)도 이 서버를 거친다.

IMEI는 단말기마다 부여되는 15자리의 고유번호다. 1차 조사 때 유출이 확인된 ISMI 등과 짝을 맞춰 결합되면 ‘심스와핑’(유심복제)이 가능해진다. 이에 대응하는 유심보호서비스는 유심정보와 휴대전화를 1대 1로 묶어 관리하면서 두 정보가 일치하지 않으면 통신이 정상 작동하지 않게끔 막는 구조다.

그동안 정부와 SKT는 IMEI 유출이 없다는 이유로 유심보호서비스의 안전성을 강조해왔는데 그 전제가 흔들리게 된 셈이다.

서버에 저장된 IMEI는 29만1831건으로 파악됐다. 지난해 12월 3일부터 올해 4월 24일까지는 유출되지 않은 것으로 확인됐다. 문제는 그 이전에 이 서버를 오갔을 IMEI 정보의 유출 여부다.

이번 조사에 따르면 최초로 악성코드가 설치된 시점은 2022년 6월 15일이다.

그런데 로그기록 저장기간이 4개월에 불과한 SKT 서버에는 이 시점부터 2024년 12월 2일까지의 로그기록이 남아있지 않다.

염흥열 순천향대 정보보호학과 교수는 “IMEI가 유출됐다면 심스와핑 공격 가능성이 커진 것”이라며 “유심보호서비스의 유효성에도 문제가 생길 수 있다”고 말했다.

◆“스마트폰 복제 어렵다” “2·3차 피해 우려” = 정부와 SKT는 IMEI가 유출됐을 때 나타날 수 있는 피해가 아직 발생하지 않았고, 설사 유출됐다고 해도 스마트폰 복제까지는 어렵다는 입장이다.

류정환 SKT 부사장은 2023년 6월 개발된 비정상인증차단시스템(FDS)로 2022년부터 시작된 해킹 피해를 막을 수 있느냐는 질문에 “검찰청 사고 접수 내역과 고객 불만 데이터를 모두 살폈지만 불법 유심 복제로 인한 사고는 나오지 않았다”고 대답했다.

류제명 과기정통부 네트워크정책실장은 IMEI가 설사 유출됐다고 해도 스마트폰 복제는 물리적으로 불가능하다고 했다.

류 실장은 “제조사나 사업자 판단으로 볼 때 복제폰은 물리적으로 불가능하고, 만에 하나 만들어졌어도 네트워크에 접속하는 것이 완벽하게 차단되므로 과도하게 불안해하지 않았으면 한다”면서 “SKT에 혹시 피해가 발생할 때를 대비해 보상책을 확실히 하라고 요구한 상태”라고 말했다.

이에 문송천 카이스트 경영대학 명예교수는 “서버 내 데이터베이스가 유출됐으면 해커가 데이터를 재구성해 누구를 대상으로, 표적으로 삼을까 계산에 들어간 상태”라며 “휴대전화 복제만의 문제가 아니라 2차·3차 피해를 우려해야 하는 상황”이라고 지적했다.

해커 로그기록이 남은 지난해 12월 초 이전에 SKT에서 가입을 해지한 이들의 개인정보 유출 가능성도 제기된다.

하지만 SKT측은 “현재로서 유출 정보는 없다”고 강조했다.

SKT가 유출 정보를 암호화하지 않고 평문으로 저장한 점, 로그기록을 4개월여로 짧게 보관한 점 등에서 이 회사가 개인정보보호법을 위반했을 가능성도 대두된다.

◆국회 “충분한 보상방안 마련” 요구 = 한편 국회 과학기술정보방송통신위원회 소속 의원들은 19일 국회에서 기자회견을 열고 “악성코드 최초 설치 시점부터 사고 발견까지 거의 3년간 보안 점검 없이 방치된 사실은 SKT의 심각한 보안 관리 부실을 보여준다”며 “암호화가 의무화된 주민번호가 아니라는 이유만으로 IMEI와 개인정보에 대한 암호화 조치를 하지 않은 것은 개인정보 보호에 대한 SKT의 안일한 태도를 여실히 보여준다”고 비판했다.

의원들은 “SKT는 ‘고객피해는 없다’는 말로 빠져나갈 궁리를 하고 있다”며 “SKT는 변명으로 일관하지 말고, 명확한 책임규명에 협조하고, 피해를 입은 이용자와 유통망에 충분한 보상방안을 마련할 것을 강력히 요구한다”고 밝혔다.

이재걸 기자

claritas@naeil.com <단말기 고유식별정보>