SK텔레콤 유심 해킹 사고와 관련해 3년 전부터 악성코드가 설치된 것으로 19일 밝혀졌다. 가입자 이름, 생년월일은 물론 휴대폰단말기고유번호(IMEI)가 담긴 서버도 악성코드의 공격에서 자유롭지 못했다. 사실상 모든 고객의 가입자 식별키(IMSI)가 빠져나갔다. 이날 민관합동조사위원회가 내놓은 2차 조사 결과가 1차 조사 결과보다 훨씬 심각해 SKT 해킹 사고는 새 국면을 맞게 됐다.

☞단말기 고유식별번호(IMEI)란

IMEI(단말기 고유 식별 번호·International Mobile Equipment Identity)는 휴대전화 제조사가 기기마다 부여하는 15자리 고유 번호. 국적, 제조사, 모델, 단말기 번호 등의 정보를 확인할 수 있는 일종의 주민등록번호 역할을 하는 것이다. 이 IMEI 번호를 이용해 분실·도난 단말기 여부 등을 확인할 수 있지만, 반대로 이 번호가 유출되면 복제 위험도 커질 수 있다. 즉 휴대전화 기기를 식별해주는 고유번호이다.

☞가입자 식별번호(IMSI)란

IMSI란 가입자 고유 번호입니다. IMSI는 SIM/USIM/eSIM 안에 저장되어 있습니다. 통신사가 "어떤 가입자인지" 식별할 때 사용하고 통신사의 데이터베이스에 보관됩니다. 보통 15자리 숫자로 구성(국가 코드 + 통신사 코드 + 가입자 고유번호)되어 있습니다. 

조사단은 1차 조사 때 유출된 유심 정보 규모가 9.82기가바이트(GB)이며 가입자 식별키(IMSI) 기준 2,695만7,749건임을 확인했다. 아울러 악성코드는 4월 25일 1차 공지한 4종, 3일 2차 공지한 8종 외 BPFDoor 계열 12종과 웹셸 1종을 추가로 발견했다. 총 25종이다. 코드에 감염된 서버는 1차 발표의 5대에서 18대가 추가된 23대다.

악성코드 추가 발견에서 문제가 멈추지 않는다는 점이 더 큰 걱정거리다. 최우혁 과학기술정보통신부 정보보호네트워크정책관은 "분석이 완료된 서버 15대 중 개인정보 등을 임시 저장하는 서버 2대가 확인됐다"고 밝혔다. 또 "해당 서버는 통합고객인증 서버와 연동되는 서버들로 고객인증을 목적으로 호출된 IMEI와 이름, 생년월일, 전화번호 등 여러 정보가 있었다"고 밝혔다. SKT는 이와 관련하 "추가 감염이 확인된 서버는 고객이 전화 또는 데이터 통신을 할 때 중간에서 인증 역할을 한다"고 밝혔다. 개인 정보가 담긴 데이터베이스 서버와는 별개로 가입자 식별을 위한 캐시 서버 역할을 한다는 설명이다.

해당 서버에 담긴 IMEI 규모는 총 29만1,831건이다. 조사단은 문제의 서버가 해킹당한 것을 안 11일 SKT에 자료 유출 가능성을 자체 확인하고 비정상 인증 시스템(FDS) 고도화 등 이용자 피해를 막을 조치를 강구할 것을 요구했다고 밝혔다.

조사단은 1차 조사에서 IMEI 유출이 없었다고 했다. 입장이 갑자기 바뀐 것을 두고 류제명 과기정통부 네트워크정책실장은 "1차 조사 결과는 조사단이 구성된 지 6일 만에 발표한 것"이라며 "이후 4회에 걸친 강도 높은 조사가 반복되면서 (IMEI 유출 가능성을) 추가로 발견한 것"이라고 말했다.

지난달 1차 발표에서 ‘IMEI 유출이 없어 범죄 악용 우려가 없다’고 했던 정부는, 이날 IMEI 유출 가능성이 불거지자 “설령 유출됐더라도 ‘복제폰’을 만드는 것은 물리적으로 불가능하다”고 기존 입장을 정정했다.

IMEI 정보가 유출되더라도 복제폰 생성 가능성은 물리적으로 불가능하다는 것이 과기부, 통신사, 제조사들의 공통된 의견이다. 류제명 과기정통부 네트워크정책실장은 2차 조사결과 발표 시 ‘IMEI를 통해 스마트폰을 복제하는 것은 물리적으로 불가능하며, 이는 단말기 제조사(삼성, 애플) 등에도 확인받은 사안’이라고 복제폰 생성 가능성에 선을 그었다. 이성엽 고려대 기술경영전문대학원 교수도 한 언론 인터뷰에서 ‘IMEI가 유출되어 복제폰이 만들어지더라도 통신사의 비정상인증차단시스템(FDS)을 통해 실제 복제폰 피해는 차단할 수 있다’고 설명했다.”

그럼에도 불구하고 SK텔레콤이 지난 3년간 민감 정보가 담긴 서버에 ‘악성 코드’가 침투해 있다는 사실을 몰랐다는 점에 대해선 비판이 나온다. SK텔레콤은 이날 브리핑에서 “현재 기술 수준에선 서버에 악성 코드가 심어지는 침해는 감지하기 어렵고, 해커가 정보를 빼내는 데이터 유출을 했을 때만 해킹을 감지할 수 있는 상태”라고 했다. 

이번 사태의 발단이 된 지난 4월 해킹도 SK텔레콤이 대량의 데이터가 빠져나가는 것을 감지해 정부에 신고하면서 가시화됐다. SK텔레콤 류정환 네트워크인프라센터장은 “현재 기술로 가능한 방법은 백신이나 EDR(엔드포인트 탐지 대응)을 까는 것인데, 통신망에 이를 설치하는 것은 상당히 어렵지만 그렇게 하도록 하겠다”고 했다.

“전문가들은 이번에 발견된 악성 코드 ‘BPFDoor(BPF도어)’ 특성 때문에 발견해 내기 매우 어렵다고 설명한다. BPF도어는 은닉성이 높다는 특징이 있다. 장기간 평범한 파일로 시스템에 잠복해 있다 해커가 보내는 특정 신호에만 활성화돼 탐지가 매우 어려운 것으로 알려져 있다.

22일 이동통신업계에 따르면 지난달 22일부터 이달 21일까지 SK텔레콤에서 이탈한 가입자는 39만5517명이다.

SKT 해킹 사태와 후속 대응에 대한 소비자들의 인식을 보여주는 참고할 수 있는 조사 결과도 나왔다. 통신리서치 '컨슈머인사이트'가 이 달 13일∼14일부터 전국 14∼64세 휴대폰 사용자 5059명을 대상으로 조사한 결과를(21일) 공개했다. 이에 따르면 SKT가 이번 사태 잘 대응하고 있다는 응답은 11%에 불과했다고 나타났다. 반면 '제대로 하고 있지 못하다'는 응답이 70%에 육박하였다. 

소비자들의 SKT대탈출은 이 사태에 대한 개인정보 해킹에 따른 피해의 불안감 뿐만이 아닌 SKT의 소비자들에 대한 대응에 대한 실망과 분노도 포함되어 있을 것이다. SKT는 지금부터라도 이번 사태에 대하여 자신들이 할 수 있는 방법을 모두 동원하여 소비자들에게 책임을 다하여야만 한다.