2025-SKT 해킹 사건 알아보기

제목 : 정부 “SKT, IMEI 유출 가능성 있지만…복제폰 생성은 불가”

저자 : 강소현 기자(ksh@ddaily.co.kr)
출처 : 디지털데일리(https://ddaily.co.kr/)

링크 : https://n.news.naver.com/article/138/0002196857

정부 “SKT, IMEI 유출 가능성 있지만…복제폰 생성은 불가”

---

[디지털데일리 강소현기자] SK텔레콤 사이버침해 사고와 관련 추가 발견된 감염서버에 단말기 고유식별번호(IMEI)도 포함된 것으로 나타난 가운데, 정부가 IMEI 유출에 따른 복제폰 생성은 불가하다는 입장을 밝혔다.

류제명 과학기술정보통신부(이하 과기정통부) 네트워크정책실장<사진>은 19일 오전 진행된 ‘SK텔레콤 침해사고 관련 민관합동조사단 중간 조사 결과’ 브리핑에서 “IMEI 값은 열다섯 자리의 숫자 조합인데, 이러한 숫자 조합만 가지고 복제폰을 생성하는 것은 원천적으로 불가능하다는 것이 제조사의 해석”이라며 이 같이 밝혔다.

이날 민간합동조사단 발표에 따르면, 지난달 29일 1차 발표 이후 공격을 받은 정황이 있는 서버가 추가로 18대 식별되어 누적 감염서버는 총 23대로 집계됐다. 추가 감염서버는 통합고객인증 서버와 연동된 서버들이었다.

특히 이 서버들에는 고객 인증을 목적으로 호출된 IMEI와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 있는 것으로 나타났다.

조사단은 해당 서버의 저장된 파일에 총 29만1831건의 IMEI가 포함된 사실을 확인했으며, 기록이 남아있는 기간(2024년12월3일∼2025년4월24일)에는 자료유출이 없었다고 밝혔다.

문제는 로그기록이 남아있지 않은 기간이었다. 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(2022년6월15일∼2024년12월2일)의 자료 유출 여부는 현재까지 확인되지 않았다. 즉, 해당 기간 IMEI 유출 가능성을 배제할 수 없는 것이다.

이동근 KISA 디지털위협대응본부장은 “개인정보를 저장·처리하는 내용이 법적으로 정해져있는데, 일단 사업자 측에서 그런 기준을 적용하지 않은 것 같다”라며 “로그가 4~5개월 정도밖에 보관이 안 돼 있던 걸로 판단하고 있고, 최초 시점하고 연결 짓는 로그가 부재하다”라고 설명했다.

로그가 부재한 기간에 대해선 “현실적으로는 로그가 없으면 (정보 유출 여부를) 판단하기가 굉장히 어려운 점이 있다”라며 “관련해선 다각적으로 (대응방안을) 검토하고 있다”라고 밝혔다.

류제명 실장도 “5월11일 개인정보 등이 저장된 문제의 서버들을 확인한 즉시 (사업자에) 조치를 강구하라고 요구했다”라며 “그 요구에 대한 반응으로 비정상인증시도 차단(FDS) 2.0 고도화 작업을 앞당겨 적용한 것으로 이해하고 있다”고 부연했다.

다만, 정부는 이번 유출에 대해 복제폰 생성 등의 2차 피해를 우려할 필요 없다는 입장이다.

류제명 실장은 “단말과 숫자를 인증하는 인증키 값을 제조사가 가지고 있기 때문에 (IMEI) 열다섯 자리 숫자가 복제됐다 해서 복제폰 생성이 가능하지는 않다라는 해석을 제조사로부터 들었다”라며 “그동안의 피해 사례나 모니터링하면서 상당히 높은 수준의 경계 상태를 유지해왔는데 피해가 발생하지 않았으며 현재 작동하고 있는 기술적 시스템 등을 감안할 때 큰 우려는 안해도 된다”고 말했다.

---

IMEI

International Mobile Equipment Identity의 약자로, '국제 모바일 기기 식별번호'를 뜻한다. 셀룰러 통신이 가능한 기기의 주민등록번호, 차대번호와 같은 역할이라 보면 된다.

 

우리나라가 보안 문제에 힘들 많이 들이지 않는 것은 오래전부터 들어왔던 것 같다. 벌금이 작아서 신경 안 쓴다나.. 블라블라.. 아무튼 이런 사회적 문제도 있지만 이번 SKT 사태를 보면서 많은 기업들이 보안문제에 더 많은 관심을 가졌으면 합니다.

 

2600만여 명의 가입자를 가진 SKT의 데이터를 왜 털릴 수밖에 없었는지 분석하는 시간을 가져보겠습니다.

1. 침입 탐지 실패 (3년간 악성코드 방치)

2022년 6월부터 설치된 악성코드가 2025년 4월까지 탐지되지 않음.

이는 침입 탐지 시스템(IDS), 보안 로그 분석(SIEM), 이상 행위 탐지 등 기본적인 보안 모니터링 체계 부재 또는 작동 실패를 의미합니다.

📌 보안 전문가들은 “기초적인 로그 모니터링만 했어도 탐지됐을 해킹이었다”라고 지적함.

2. 내부망 구분 및 분리 부족

유심 정보 서버, 가입자 인증정보, 개인정보 등이 서로 다른 보안 등급으로 분리되지 않고 동일 네트워크 내에 있었던 것으로 추정.

결과적으로 하나의 악성코드 감염으로 다수 민감 정보에 접근 가능.

📌 “망분리, 권한 최소화, 중요 정보 암호화 등이 부실했다”는 것이 업계 중론.

3. 공격 경로인 IVanti VPN 취약점 방치

이미 국제 보안 커뮤니티에서 경고되었던 Ivanti 장비 취약점을 장기간 패치하지 않아 중국계 APT 그룹의 침투 경로로 활용됨.

이는 패치 관리 체계 부실의 명백한 증거.

4. 데이터 암호화 부재 또는 약함

수천만 건의 USIM 정보와 IMEI 등 식별정보가 평문 상태 또는 취약한 보호 수준으로 저장되어 있었던 정황.

국제 표준 보안정책에서는 이런 민감 정보는 반드시 비가역적 암호화 혹은 하드웨어 기반 암호화를 요구함.

 

어떻게 대비했어야 했는지 키워드만 알아봅시다.

1. 보안관제 체계 강화

2. 중요 정보 망분리 및 접근제어

3. 취약점 관리 체계 정비

4. 데이터 보안 표준 강화

5. 레드팀/블루팀 훈련 주기화

 

이번 글에서 SKT  사건에 관련된 보안 이슈를 탐구해봤습니다. 우리나라는 IT 강국이라는 칭호를 갖고 있지만 이런 부끄러운 보안 이슈가 생긴다면 칭호를 떳떳하게 사용하진 못할 것 같습니다. 기업들의 보안 기술의 관심도가 높아지고 보안 전문가도 더 대접받고, 전문가들의 실력 또한 향상한다면 이런 기초적인 보안 문제를 해결하지 못해서 일어나는 일은 없을 것이라고 생각합니다.