[비즈니스포스트] SK텔레콤 서버에서 확인된 악성코드가 25종까지 늘어났고, 2600만 여 건 이상의 가입자 식별키도 유출된 것으로 파악됐다.

SK텔레콤 침해사고 민관합동조사단은 19일 정부서울청사에서 2차 조사결과 발표하면서 SK텔레콤 서버 23대에서 악성코드 25종이 확인됐다고 밝혔다.
 

앞서 지난 4월29일 1차 조사결과에서는 서버 5대에서 악성코드 4종이 발견됐다고 밝혔다. 이어 5월3일에는 추가로 악성코드 8종을 확인했다고 했다.

조사단은 유출된 유심정보 규모가 9.82GB이며, 가입자 식별키(IMSI) 기준 2695만7749건 임을 확인했다.

조사단은 1차 발표 후 공격을 받은 정황이 있는 서버를 추가로 18대 식별했다. 23대 가운데 현재까지 15대는 정밀 분석을 마쳤으며, 8대는 5월 말까지 분석을 마칠 예정이다. 15대 분석 결과, 앞서 12종의 악성코드 외에 추가로 13종의 악성코드가 발견됐다.

분석이 완료된 15대 중 2대는 개인정보 등을 저장한 서버로 파악됐다. 이 서버는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)를 비롯해 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 저장돼 있었던 것으로 확인됐다.

다만 조사단은 정밀조사를 한 결과 방화벽 접속 기록이 남아 있는 2024년 12월3일부터 2025년 4월24일까지 기간에는 자료 유출이 없었다고 설명했다.

최초 악성코드가 설치된 시점부터 접속 기록이 남아있지 않은 기간 2022년 6월15일부터 2024년 12월2일까지의 자료 유출 여부는 아직 확인되지 않았다고 밝혔다.

이에 따라 해커가 이미 3년 전에 악성코드를 심어 일반 개인정보를 비롯해 유심 복제가 가능한 핵심 단말기 고유식별번호, 가입자 식별번호 등을 빼냈을 가능성을 배제하기 어렵게 됐다. 또 해커가 개인 통화기록을 빼냈을 가능성도 있는 것으로 해석된다. 

조사단은 지난 14일까지 SK텔레콤의 리눅스 서버 3만대를 총 4차례 점검했고, 다음 달 말까지 윈도 서버와 기타 장비 등으로 점검 대상을 확대한다. 조사단은 6월 말 최종 조사결과를 발표할 예정이다. 조승리 기자