정부 "단말 고유식별번호 유출 안 돼"…최악 피했지만 안심 일러

SK텔레콤 가입자 정보 유출 사건을 수사 중인 정부가 가입자 전화번호, 가입자식별키(IMSI) 등 유심(USIM) 복제에 활용될 수 있는 정보 4종 등의 유출을 확인했다고 오늘(29일) 밝혔습니다.

아울러 단말기 고유식별번호(IMEI) 유출은 없었다고 확인하면서 복제한 유심을 다른 휴대전화에 꽂아 불법 행위에 악용하는 이른바 '심스와핑' 우려는 없는 것으로 파악됐습니다.

다행히 해커가 이용자의 단말기와 가입자 고유정보를 조합해 휴대전화의 주도권을 장악하는 최악의 사태 우려는 없다는 이야기입니다.

다만 아직 해킹 사건의 전모가 밝혀진 것은 아니어서 다른 중요 정보의 유출 가능성 등 잠복해있을 위험에 대한 긴장을 늦추기에는 이른 것으로 보입니다.

과학기술정보통신부는 이번 사건 조사를 위해 꾸려진 민관합동조사단의 지난 1주일간 조사를 토대로 1차 분석 결과를 오늘 발표했습니다.

민관합동조사단은 지금까지 SK텔레콤에서 유출된 정보를 확인한 결과 가입자 전화번호, 가입자식별키(IMSI) 등 USIM 복제에 활용될 수 있는 4종과 유심 정보 처리 등에 필요한 SK텔레콤 자체 관리용 정보 21종이 빠져나갔다고 설명했습니다.

조사단은 단말기 고유식별번호(IMEI) 유출은 없었다고 확인했습니다.

가입자 고유번호인 IMSI는 빠져 나갔지만 단말 고유번호인 IMEI는 그렇지 않기 때문에 빠져나간 정보 4종을 통한 유심 복제(심클로닝)는 가능하지만 복제된 유심으로 휴대전화 주도권을 탈취하는 '심스와핑'은 불가능하다는 이야기입니다.

조사단은 "이에 따라 현재 SK텔레콤이 시행 중인 유심 보호 서비스에 가입하는 경우 이번에 유출된 정보로 유심을 복제해 다른 휴대전화에 꽂아 불법적 행위를 하는 이른바 '심스와핑'이 방지된다"고 했습니다.

그러면서 명의자가 쓰던 기기가 아닌 다른 기기에서 탈취한 명의로 통신 서비스를 접속하려 할 경우 이를 차단하는 유심 보호 서비스 가입을 적극 권장했습니다.

가입자와 단말기 고유식별변호가 함께 유출되며 심스와핑이 횡행할 수 있었던 가능성에서는 벗어났다는 1차 조사 결과지만 마냥 안심할 수는 없는 부분도 있습니다.

SK텔레콤 해커가 다른 탈취 정보와 이번 해킹에서 빼돌린 유심 정보를 조합하면 스미싱 공격을 감행할 수 있기 때문입니다.

이용자가 스미싱에 넘어가면 휴대전화 주도권 탈취가 가능합니다.

해커가 SKT 가입자에게 '명의 도용 등을 막기 위해 휴대폰을 껐다 켜달라' 등의 스미싱 문자를 보냈을 때 이에 속아 넘어가 휴대전화를 끄면 심스와핑이 일어날 수 있다는 설명입니다.

이러한 유형의 스미싱 시도를 감시 중인 한국인터넷진흥원(KISA)은 현재까지는 해당 공격 사례는 발견되지 않았다면서도 휴대전화 재부팅을 요구하는 피싱 메시지가 오면 절대 따르지 말고 신고해달라고 당부했습니다.

조사단은 SK텔레콤이 공격받은 정황이 있는 서버 3종, 5대를 조사했고 기타 중요 정보들이 포함된 서버들에 대해 조사를 확대 중이라고 밝혔습니다.

조사단은 또 해킹 사건 조사 과정에서 침투에 사용된 BPF도어(BPFDoor) 계열의 악성코드 4종을 발견했다고 밝혔습니다.

이 공격 수법은 리눅스 운영체제에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF(Berkeley Packet Filter)를 악용한 백도어라는 설명입니다.

은닉성이 높아 해커의 통신 내용을 탐지하기 어려운 특징이 있습니다.

SK텔레콤이 국회 과학기술정보방송통신위원장인 최민희 의원(더불어민주당)에게 제출한 자료에 따르면 이번 해킹으로 유출된 정보는 이미지, 영상 정보가 아닌 텍스트 데이터로 9.7기가바이트(GB)에 달합니다.

가입자 1명당 유심 정보량 144킬로바이트(KB)로 나누면 무려 6천736만 명분이지만 그렇다고 이 데이터 유출분에 전체 가입자 2천300만 명의 유심 정보가 몽땅 포함됐다고 단정하기는 어렵습니다.

SK텔레콤이 가입자 정보를 분산한 서버 총 14대 가운데 일부인 3대에서만 유출이 이뤄졌기 때문입니다.

최 위원장실에 따르면 인터넷망으로 침입한 해커는 각각의 방화벽을 뚫고 SK텔레콤 사내망을 거쳐 관리망까지 뚫은 뒤 가장 심층부인 내부망에 접근한 것으로 파악됐습니다.

한편, 과방위 소속 최수진 의원(국민의힘)에 따르면 SK텔레콤은 해킹 인지 직후 자체 포렌식에 착수했으나 실패한 것으로 전해졌습니다.

해커가 침입 경로 등의 흔적을 모두 지우고 빠져나가 자체 조사에 난항을 겪은 탓입니다.

이후 과기정통부가 꾸린 민관합동조사단이 포렌식을 진행 중입니다.

이에 대해 조사단 관계자는 "사업자도 이상 징후를 발견하고 확인 작업했을 것으로 보이나 조사 시 움직인 데이터, 조치의 적합성 등은 모두 진상 조사의 영역"이라고 언급했습니다.