SKT 침해사고 조사결과 2차 발표…감염 서버 23대·악성코드 25종 확인·조치

BPFDoor·다른 악성코드 감염 확인 위한 전체 서버 점검 착수
개인정보 일정기간 임시로 관리되는 서버 2대 감염 사실 확인
과학기술정보통신부

[한국방송/김주창기자] 과학기술정보통신부는 SKT 침해사고 민관합동조사단이 지난달 29일 1차 발표에 이어, 2차로 지금까지의 조사결과를 19일 발표했다.

조사단은 다음 달까지 SKT 서버 시스템 전체를 강도 높게 점검하기 위해 1단계로 초기 발견된 BPFDoor 감염 여부 확인을 위해 리눅스 서버를 집중 점검하고, 2단계로 BPFDoor와 다른 악성코드 감염 여부를 확인하기 위해 리눅스를 포함해 모든 서버로 점검 대상을 확대하는 방식으로 조사하고 있다.

현재까지 4차례 점검한 1단계 결과를 정리해 이번 2차 발표를 했다.

조사단은 19일 현재 모두 23대의 서버 감염을 확인해 15대에 대한 포렌식 등 정밀분석을 완료하고 잔여 8대에 대해 분석하고, 다른 악성코드에 대해서도 탐지와 제거를 위한 5차 점검을 진행하고 있다.

현재까지 악성코드는 BPFDoor계열 24종과 웹셸 1종 등 25종을 발견해 조치했다.

과학기술정보통신부는 SKT 침해사고 민관합동조사단 2차 조사결과를 19일 발표했다. 사진은 SKT 직영점에 해킹 사태 관련 안내문이 게시돼 있는 모습.(ⓒ뉴스1)

조사단은 현재까지 SKT의 리눅스 서버 3만여 대에 대해 4차례에 걸쳐 점검했다.

4차례에 걸친 강도 높은 조사는 1차 점검에서 확인한 은닉성, 내부까지 깊숙이 침투할 가능성 등 BPFDoor 계열 악성코드의 특성을 감안해 다른 서버에 대한 공격이 있었을 가능성을 확인하기 위한 목적이었다.

특히, 4차 점검은 국내외 알려진 BPFDoor 악성코드 변종 202종을 모두 탐지할 수 있는 툴을 적용했다.

1∼3차 점검은 SKT가 자체 점검 뒤 조사단이 이를 검증하는 방식으로 진행했으며, 4차 점검은 조사단이 한국인터넷진흥원(KISA)의 인력을 지원받아 직접 조사했다.

조사단은 유심정보의 규모가 9.82GB이며, 가입자 식별키(IMSI) 기준 2695만 7749건이라고 발표한 1차 조사 결과를 확인했다.

또한, 악성코드는 1차 공지한 4종, 2차 공지한 8종 외 BPFDoor 계열 12종과 웹셸 1종을 추가로 확인했다.

조사단은 1차와 2차는 악성코드 특성 정보, 3차에는 국내외 알려진 BPFDoor 계열 모두를 탐지할 수 있는 툴의 제작방법을 6110개 행정부처, 공공기관, 기업 등에 안내해 피해 확산을 방지하고자 했다.

과기정통부는 다른 통신사와 주요 플랫폼 기업을 대상으로 유사 사고가 발생할 가능성을 대비해 사건 초기부터 긴밀한 대응을 해왔다.

과기정통부 장관이 통신 3사와 플랫폼 4개 사의 보안 리더들과 만나 현 보안상황을 점검하고 향후에도 철저한 점검과 대응을 당부했다.

이어서, 통신사와 플랫폼사 보안점검 TF를 운영해 다른 통신사와 플랫폼 4개 사에 대해 매일 또는 주단위로 점검결과를 확인하고 있다.

이와 함께, 중앙행정기관, 지자체, 공공기관은 국정원 주관으로 점검하고 있는데 현재까지 민간, 공공 분야 모두 신고된 피해사례는 없다.

1차 발표 이후 공격을 받은 정황이 있는 서버는 추가로 18대가 식별돼 현재까지 모두 23대이며 그중에 현재까지 15대는 정밀 분석을 마쳤으며, 8대는 이달 말까지 분석을 완료할 예정이다.

분석을 완료한 15대 중 개인정보 등을 저장하는 2대를 확인하고 지난 18일까지 2차에 걸쳐 자료 유출 여부에 대해 추가로 조사했다.

해당 서버는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 다수의 개인정보가 있었다.

한편, 침해사고 발생 이후 복제폰에 따른 피해 우려로 IMEI 유출 여부에 대해 국민적 관심이 높았다.

이에, 조사단은 조사 초기 IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검해 감염되지 않음을 확인하고 1차 조사 결과를 발표한 바 있다.

이후, 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있음을 확인했다.

이 과정에 조사단은 해당 서버의 저장된 파일에 총 29만 1831건의 IMEI가 포함된 사실을 확인했다.

조사단이 2차에 걸쳐서 정밀조사한 결과, 방화벽 로그기록이 남아있는 지난해 12월 3일부터 지난달 24일까지에는 자료유출이 없었으며, 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간인 2022년 6월 15일부터 지난해 12월 2일까지의 자료 유출 여부가 현재까지는 확인되지 않았다.

조사단은 개인정보 등이 저장된 문제의 서버들을 확인한 즉시 사업자에게 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체 확인하고 이에 따른 국민 피해를 예방할 수 있는 조치를 강구하라고 요구했다.

또한, 개인정보는 개인정보보호위원회에서 정밀조사가 필요한 사항이라 보고 개인정보보호위에도 개인정보가 포함돼 있다는 사실을 통보하는 한편, 사업자 동의를 얻어 조사단에서 확보한 서버자료를 개인정보보호위에 공유했다.

조사단은 앞으로도 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견하면 투명하게 공개하고 사업자가 신속히 대응하도록 하는 한편, 정부 차원의 대응책도 강구해 나갈 계획이다.

문의: 과학기술정보통신부 사이버침해대응과(044-202-6461, 6448), 한국인터넷진흥원 위협분석단(02-405-4830)

종합뉴스