과기정통부와 한국인터넷진흥원(KISA) 등 민관 합동조사단은 19일 서울 정부청사에서 SKT 개인정보 유출 사건 2차 조사 결과를 발표했다. 해커는 2022년 6월 15일부터 약 3년간 SKT를 공격한것으로 추정되며, 악성코드에 감염된 서버는 기존 5대에서 23대로 늘었다. 이 가운데 2대는 IMEI와 개인정보가 임시 저장된 서버로, 총 29만1831건의 IMEI 정보가 포함돼 있었다.
IMEI는 휴대전화 단말기에 제조 단계에서 부여되는 고유 번호로, 단말기의 ‘주민등록번호’ 같은 역할을 한다. 통신망 접속 시 유심 정보(IMSI)와 함께 사용되며, 가입자 인증의 핵심 수단으로 쓰인다.
문제는 유출 여부를 확인할 수 있는 로그 기록이 제한적이라는 점이다. 현재 남아 있는 로그는 2023년 12월 3일부터 2024년 4월 24일까지 약 5개월뿐이며, 이 기간에도 이름·생년월일 등 일부 개인정보는 암호화되지 않은 상태로 저장돼 있었다. 조사단은 이 기간 유출 정황은 발견되지 않았다고 설명했지만, 로그가 존재하지 않는 기간은 유출 여부조차 확인되지 않았다. 향후 디지털 포렌식이 필요하지만, 로그가 완전히 삭제된 경우 추적이 불가능할 수도 있다.
이외에도 이름, 생년월일, 전화번호, 이메일 등 가입자 정보가 추가로 유출됐을 가능성도 제기됐다. 다만 조사단은 이 서버에 저장돼 있던 개인정보의 구체적인 항목은 개인정보보호위원회의 조사 대상이라고 언급했다.
유출된 유심 정보는 IMSI 기준 총 2695만 7749건에 달한다. SKT 가입자와 알뜰폰 이용자를 합친 전체 고객 수인 2500만명을 웃도는 규모다. 이에 따라 과거 SKT를 이용하다 타 통신사로 이동한 가입자의 정보까지 포함됐을 가능성도 나온다. 그러나 SKT는 “해당 수치는 스마트폰 외에도 스마트워치, IoT 기기 등 다양한 단말기에 탑재된 유심을 모두 포함한 것”이라며 “이전 가입자의 정보는 포함되지 않았다”고 해명했다.
IMEI가 실제로 유출된 것이 확인될 경우, 유심 보호 서비스만으로는 복제폰 피해를 방지하기 어렵다는 지적이 제기된다. 유심 보호 서비스는 유심과 단말기를 짝지어 개통을 막는 방식이지만, IMSI와 IMEI가 모두 유출될 경우, 기존 가입자를 도용할 수 있는 여지가 생긴다. 이 때문에 IMEI가 유출된 가입자에 대해선 유심 교체가 근본적인 대응책이다.
다만 정부는 IMEI가 유출됐더라도 복제폰 생성은 쉽지 않다는 입장이다. 류제명 과기정통부 네트워크정책실장은 "물리적으로 IMEI 15자리 값만으로는 제조사가 가지고 있는 단말별 인증키 값 없이 물리적인 복제가 불가능하다"면서 "SKT에서도 비정상 인증 차단 시스템(FDS) 고도화 작업을 완료해 네트워크 접속을 차단할 수 있다고 한다"고 설명했다
고송희 인턴기자 kosh1125@hankyung.com
© 매거진한경, 무단전재 및 재배포 금지