SKT 침해사고 조사결과 2차 발표…감염 서버 23대·악성코드 25종 확인·조치

안녕하세요, 여러분! 오늘은 최근 이슈가 되고 있는 SK텔레콤 해킹 사태의 2차 조사결과에 대해 알아볼게요. 이번 사건은 국내 최대 통신사의 서버가 대규모로 해킹당한 심각한 사례인데요, 매일 새로운 정보가 나오면서 더 큰 충격을 주고 있더라고요. 특히 개인정보 유출 가능성까지 제기돼서 많은 분들이 불안해하시는 것 같아요.

🔍 2차 조사 결과 핵심 내용

과학기술정보통신부는 SKT 침해사고 민관합동조사단 2차 조사결과를 5월 19일에 발표했습니다. 1차 발표에서는 5대 서버 감염과 4종의 악성코드가 발견됐다고 했는데, 지금은 훨씬 더 심각한 상황으로 밝혀졌어요.

가장 충격적인 부분, 일단 숫자부터 봐야 할 것 같아요:

• 감염된 서버: 총 23대 (1차 발표 때보다 18대 증가)
• 발견된 악성코드: 총 25종 (BPFDoor 계열 24종과 웹셸 1종)
• 분석 완료 서버: 15대 (나머지 8대는 이달 말까지 분석 예정)

현재까지 민관합동조사단은 SK텔레콤의 리눅스 서버 약 3만여 대를 대상으로 무려 4차례에 걸쳐 점검했다고 해요. 이렇게 강도 높은 조사를 한 이유가 있었네요. 처음 발견된 악성코드의 특성이 워낙 은닉성이 강하고 내부까지 깊숙이 침투할 가능성이 있어서 추가 공격 여부를 꼼꼼히 확인한 거죠.

🚨 IMEI 유출 가능성, 이게, 왜 중요한가요?

이번 조사에서 가장 주목할 부분은 통합고객인증 서버와 연동되는 서버 2대에서 개인정보 유출 가능성이 확인된 점이에요. 이 서버들에는 단말기 고유식별번호(IMEI)와 함께 이름, 생년월일, 전화번호, 이메일 등 다수의 개인정보가 저장되어 있었어요.

근데 이거, 왜 문제냐고요? 지난 1차 발표에서는 "IMEI 유출은 없었다"고 했거든요. IMEI는 휴대폰 단말기 자체에 부여된 고유 번호로, 이게 유출되면 휴대폰 복제에 악용될 수 있어서 대단히 위험한 정보입니다.

민관합동조사단의 발표에 따르면 해당 서버에 저장된 파일에 총 29만 1천831건의 IMEI가 포함돼 있었다고 해요. 정밀조사 결과, 로그기록이 남아있는 2024년 12월 3일부터 올해 4월 24일까지는 자료유출이 없었지만, 문제는 그 이전이죠. 악성코드가 최초 설치된 것으로 확인된 2022년 6월 15일부터 로그기록이 없는 2024년 12월 2일까지의 기간 동안에는 유출 여부를 확인할 수 없다고 합니다.

그야말로 딜레마네요. 정보가 유출됐는지 안 됐는지조차 확인할 수 없으니까요.

😱 복제폰 위험, 실제로 얼마나 심각할까?

여기서 많은 분들이 걱정하시는 게 바로 '심스와핑(SIM Swapping)' 공격이에요. 쉽게 말해 유심 정보를 복제해서 다른 사람인 척 통신망에 접속하는 공격 방식이죠.

심스와핑은 이미 세계 곳곳에서 발생한 실제 사건이고, 한국에서도 2021년 12월에 첫 사례가 발생했어요. 복제된 유심으로 복제폰을 만들어 메일과 카카오톡 계정을 탈취한 뒤, 금융 서비스 비밀번호를 바꿔버리는 무시무시한 공격이죠.

그렇다면 지금 SKT 고객들은 정말 위험한 걸까요?

SKT 측은 "IMEI는 휴대폰에 부여되는 고유식별번호로, IMEI가 유출되지 않았다는 것은 유심보호서비스에 가입할 경우 불법 행위를 방지할 수 있다는 뜻"이라고 설명했습니다.

하지만... 중요한 점은 이제 IMEI가 저장된 서버도 해킹당했다는 사실이 밝혀졌다는 거죠. 해커가 이 정보까지 가져갔을 가능성을 배제할 수 없게 된 겁니다.

🕵️ BPFDoor 악성코드, 이게 뭐길래?

이번 사태의 주범인 BPFDoor 악성코드는 리눅스 시스템을 공격 타깃으로 하는 백도어(Backdoor) 악성코드로, 2021년에 최초 발견되었어요. 중동 및 아시아 전역의 통신업체, 정부, 교육 등의 분야를 공격 타깃으로 삼고 있대요.

BPFDoor는 BPF(Berkeley Packet Filter) 기술을 악용하여 탐지를 회피하고 사용자 공간에서 직접 패킷을 수신할 수 있도록 설계되었습니다. 이 악성코드의 특징은 TCP, UDP, ICMP 등 다양한 프로토콜을 지원하며, 비표준 방식으로 통신해서 탐지가 매우 어렵다는 점이에요.

BPFDoor의 가장 무서운 특징은 평소엔 잠복해 있다가 특별한 신호(일명 매직 패킷)가 오면 그때 활동을 시작한다는 점입니다. 이런 은밀함 때문에 일반적인 보안 시스템으로는 탐지하기가 정말 어려워요.

🛡️ 정부와 SKT의 대응은?

민관합동조사단은 침해사고 발생 이후 몇 가지 조치를 취했습니다:

1. 지난 4월 25일과 5월 3일: 악성코드 특성 정보 제공
2. 5월 12일: 국내외 알려진 BPF 계열 악성코드를 모두 탐지할 수 있는 툴 제작법 안내
3. IMEI가 저장된 서버 확인 후 즉시 SKT에 자료 유출 가능성 확인 및 국민 피해 예방 조치 강구 요구
4. 개인정보보호위원회에 관련 사항 통보 및 서버 자료 공유

SK텔레콤 측은 현재 모든 고객을 대상으로 유심 무상 교체와 유심보호서비스 가입을 권장하고 있습니다. 또한 5월 12일부터는 '유심 재설정' 솔루션을 도입해 물리적 유심 교체 없이도 같은 효과를 볼 수 있게 했어요.

❓ 자주 묻는 질문 (FAQ)

Q: 내 정보가 유출됐는지 어떻게 확인할 수 있나요? A: 현재로서는 개별 고객의 정보 유출 여부를 확인하기 어렵습니다. SKT는 현재까지 2차 피해 사례가 없다고 밝히고 있으며, 예방 차원에서 유심 무상 교체와 유심보호서비스 가입을 권장하고 있습니다.

Q: 유심보호서비스는 무엇인가요? A: 유심보호서비스는 단말기와 유심을 하나로 묶어서 관리해, 본인을 포함한 누구라도 유심을 다른 휴대폰에 장착하여 임의로 사용하는 것을 방지해 주는 무료 서비스입니다.

Q: 유심을 교체하면 해킹 위험으로부터 완전히 안전한가요? A: 유심 교체만으로는 완전한 보호가 어렵습니다. 유심보호서비스 가입과 함께 비밀번호 정기 변경, 스미싱/피싱 주의, 출처가 불분명한 앱 설치 자제 등 기본적인 보안 수칙을 지키는 것이 중요합니다.

Q: BPFDoor 악성코드는 어떻게 내 기기에 침투하나요? A: 일반 개인 스마트폰 사용자의 기기에 직접 침투하는 것이 아니라, 통신사의 서버 시스템을 공격합니다. 이번 사태는 SK텔레콤의 서버 시스템이 공격당한 것이며, 개별 사용자 기기의 직접적인 감염은 아닙니다.

Q: 다른 통신사도 해킹 위험이 있나요? A: 과학기술정보통신부는 타 통신사와 주요 플랫폼 기업을 대상으로 유사 사고 발생 가능성에 대비해 현 보안 상황을 점검하고 철저한 대응을 당부했습니다. 현재까지 다른 통신사의 피해 사례는 보고되지 않았습니다.

Q: 복제폰으로 인한 금융사기를 당했다면 어떻게 해야 하나요? A: 즉시 통신사와 금융기관에 신고하고, 경찰청 사이버수사대(☎182)에도 신고해야 합니다. 금융사기 피해는 지연 없이 신고할수록 회복 가능성이 높아집니다.

포커스 키워드: SKT 해킹 사태