SK텔레콤 침해사고 민관합동조사단은 19일 2차 조사결과 발표 브리핑을 열고 "1차 조사 결과 발표한 유출 유심정보 규모가 9.82GB로, 가입자식별키(IMSI) 기준 2695만 7749건임을 확인했다"고 발표했다.

https://n.news.naver.com/article/421/0008259149?sid=105

[속보] SKT 개인정보·IMEI 유출 가능성…3년전 악성코드 설치 추정

https://n.news.naver.com/article/081/0003542246?sid=105

[속보] SKT 해킹으로 단말고유식별번호(IMEI)도 유출 가능성

최우혁 과학기술정보통신부 정보보호네트워크정책관(국장)은 19일 'SKT 침해사고 관련 민관합동조사단 중간 조사 결과' 브리핑에서 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 단말고유식별번호(IMEI)가 포함되고 있음을 확인하게 됐다고 발표했다.

최 국장은 "조사단이 자료 유출 여부에 대한 추가적인 조사를 실시하고 조사단 전체회의를 5월 14일, 5월 18일 두 차례 진행했다"면서 "(해킹된 SK텔레콤 서버는) 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 단말기 IMEI, 이름, 생년월일, 전화번호 등 다수의 개인정보가 있었다"고 말했다.

https://www.newsworks.co.kr/news/articleView.html?idxno=796293

민관 합동 조사단은 19일 정부서울청사에서 SK텔레콤 해킹 사건에 대한 2차 조사 결과를 발표했다. 조사 결과에 따르면, 해커가 악성코드를 심은 시점은 지난 2022년 6월 15일로 특정됐다.

이후 남아 있지 않은 로그 기록 구간에서는 단말기 고유식별번호(IMEI)를 포함한 핵심 정보가 유출됐을 가능성도 배제할 수 없는 것으로 나타났다.

해킹 공격은 3년에 걸쳐 장기간 지속됐고, 피해 범위가 수천만 명 규모에 이른다는 점에서 개별 기업을 넘어 국가 안보 차원에서 대응이 필요하다는 지적이 나온다.

1차 조사에서는 악성코드에 감염된 서버 5대 중 홈가입자서버(HSS) 3대에서 가입자 식별번호(IMSI), 인증키 등 유심 관련 정보 4종을 포함한 총 25종의 정보 유출이 확인됐다. 2차 조사에서는 감염된 서버가 추가로 18대 더 확인돼, 해킹 피해 서버는 총 23대로 늘어났다. 이 가운데 15대는 포렌식 분석이 완료됐고, 나머지 8대에 대해서는 분석이 진행 중이다.

조사단은 이번에 새롭게 드러난 2대의 서버가 개인정보를 일정 기간 임시로 저장하던 서버였다고 밝혔다. 이 서버들에서는 이름, 생년월일, 전화번호, 이메일 등 휴대전화 가입 시 수집되는 개인정보가 포함됐을 가능성이 있는 것으로 추정됐다. 정확한 정보 항목은 개인정보보호위원회에서 조사를 진행하고 있다.

또한 이들 서버는 통합고객인증 서버와 연동돼 있었고, 고객 인증 과정에서 단말기 고유식별번호(IMEI)와 개인정보를 함께 저장하고 있었던 것으로 나타났다. 이에 따라 IMEI가 유출됐을 가능성도 제기됐다. IMEI는 휴대전화 복제나 이상 금융거래 등에 악용될 수 있어 정보보안 차원에서 주요한 위험 요소로 간주된다.

조사단은 초기 단계에서 IMEI가 저장된 38대 서버를 집중 점검해 악성코드 감염 여부를 확인했고, 당시에는 감염되지 않았다고 발표한 바 있다. 그러나 이후 정밀 분석 중 임시 저장 파일에서 총 29만2831건의 IMEI 등이 포함된 사실을 확인했다고 밝혔다.

조사단은 지난 2023년 12월 3일부터 2024년 4월 24일까지는 방화벽 로그가 존재하며, 해당 기간에는 정보 유출이 없었다고 밝혔다. 그러나 지난 2022년 6월 15일부터 2023년 12월 2일까지는 로그 기록이 남아 있지 않아, 이 기간의 유출 여부는 확인이 어렵다고 설명했다.

문제가 된 개인정보 포함 서버에 대한 해킹은 지난 11일에 확인됐고, 조사단은 SK텔레콤 측에 자료 유출 가능성을 자체적으로 점검하고 이용자 피해를 예방할 대책을 마련할 것을 요구했다. 이어 지난 13일에는 개인정보보호위원회에 해당 사실을 통보하고 서버 자료를 공유했다.

1차 조사에서 유출이 확인된 유심 정보는 총 9.82GB 분량이며, 가입자 식별번호(IMSI) 기준으로 약 2695만7749건에 해당한다. 이는 SK텔레콤 가입자와 SKT 회선을 이용하는 알뜰폰 가입자 수 약 2500만 명과 유사한 규모다.

조사단은 이 해킹이 중국계 해커 조직이 사용하는 방식인 'BPFDoor' 수법과 함께 웹 기반 악성코드인 '웹셀'도 함께 사용된 것으로 분석했다. 현재까지 확인된 악성코드는 총 25종으로, 초기 발표된 12종에서 확대됐다.

조사단은 SK텔레콤의 리눅스 서버 3만대를 지난 14일까지 네 차례 점검 완료했으며, 6월 말까지 윈도 서버 및 기타 장비로 점검 대상을 확대할 예정이다. 또한 '통신사 및 플랫폼사 보안점검 태스크포스'를 지난 12일부터 운영하며, 주요 통신사와 플랫폼 4개사를 대상으로 매일 또는 주 단위로 점검 결과를 확인 중이다.

https://n.news.naver.com/article/654/0000121824?sid=101