SKT 서버 감염, 추가 정보(IEMI) 누출

 

민관합동조사단의 2차 조사 결과에 따르면, SK텔레콤의 해킹 사건으로 인해 가입자 전원의 유심(USIM) 정보뿐만 아니라 개인정보가 관리되는 서버도 악성코드에 감염된 것으로 확인되었습니다.
특히, 단말기 고유식별번호(IMEI) 약 29만 건이 포함된 파일이 발견되었으며, 로그 기록이 없는 기간(2022년 6월 15일~2024년 12월 2일) 동안 유출 가능성이 제기되었습니다.

SKT 해킹 사건의 주요 조사 결과

1. 악성코드 감염 및 서버 침해
   • 총 23대의 서버가 감염되었으며, 이 중 15대는 포렌식 분석이 완료되었고 8대는 추가 분석 중입니다.
   • 악성코드 25종(BPFDoor 계열 24종 + 웹셸 1종)이 발견되어 조치되었습니다.
2. 유출된 정보 규모
   • 유출된 유심 정보는 9.82GB 규모이며, 가입자 식별키(IMSI) 기준 2,695만 7,749건이 확인되었습니다.
   • IMEI 약 29만 건이 포함된 파일이 발견되었으며, 로그 기록이 없는 기간(2022년 6월 15일~2024년 12월 2일) 동안 유출 가능성이 제기되었습니다.
3. 복제폰 및 금융사기 위험
   • IMEI가 유출될 경우 복제폰 생성 및 금융사기(심스와핑) 가능성이 커질 수 있음이 우려되고 있습니다.
   • 정부는 SKT에 유심 교체를 강력히 권고하고 있으며, 현재까지 유심 교체 가입자는 210만 명으로 전체 가입자의 10% 미만입니다.
4. 해킹 배후 의심
   • 중국 정부의 지원을 받는 해커 조직 ‘레드 멘션(Red Menshen)’이 배후로 의심되고 있으며, 이들은 장기적인 정보 수집을 목적으로 활동하는 것으로 분석되었습니다.
5. 향후 대응 계획
   • 6월까지 SKT 전 서버에 대한 조사를 마무리하고 최종 피해 규모와 유출 경로를 규명할 예정입니다.
   • 개인정보보호위원회와 협력하여 유출된 개인정보가 금융 피해로 이어지지 않도록 조치를 강화할 계획입니다.

 

SKT 고객안심 패키지

 

 

 

 

IMEI란 무엇인가?

IMEI(International Mobile Equipment Identity)는 각 휴대전화에 부여되는 고유한 15자리 숫자로, 단말기의 신원을 확인하는 역할을 합니다. 이는 휴대전화의 주민등록번호와 같은 개념으로, 네트워크에서 특정 기기를 식별하는 데 사용됩니다.

[IMEI 유출 시 발생할 수 있는 위험]

1. 개인 정보 침해
   • 유출된 IMEI 번호는 사용자의 활동을 추적하는 데 악용될 수 있습니다.
   • 특정 앱이나 서비스에서 IMEI를 기반으로 사용자 정보를 수집할 가능성이 있습니다.
2. 장치 추적 및 위치 노출
   • 승인되지 않은 당사자가 IMEI 번호를 이용해 사용자의 위치와 이동 패턴을 추적할 수 있습니다.
   • 이는 스토킹, 불법 감시 등의 위험을 초래할 수 있습니다.
3. 복제폰 생성 및 금융사기(심스와핑) 위험
   • 해커가 IMEI를 이용해 복제폰을 생성하고, 이를 통해 금융사기(심스와핑)를 시도할 가능성이 있습니다.
   • 심스와핑(SIM Swapping)은 해커가 피해자의 유심 정보를 복제하여 금융 계좌에 접근하는 방식으로, 피해자가 모르는 사이에 계좌에서 돈이 빠져나갈 수 있습니다.
4. 불법 행위에 악용 가능
   • 도난당한 IMEI 번호를 사용하여 불법적인 통신 서비스 가입이 가능할 수 있습니다.
   • 특정 국가에서는 IMEI를 차단하여 도난폰 사용을 막지만, 유출된 IMEI가 불법적인 네트워크에서 사용될 가능성도 있습니다.

 

 

 

배후 의심 근거

현재 SKT 해킹 사건의 배후에 대한 명확한 증거는 아직 확보되지 않은 상태입니다. 하지만 경찰과 민관합동조사단은 디지털 증거 분석 및 침입 경로 추적을 통해 배후 세력을 특정하려는 작업을 진행 중입니다.

1. 악성코드 유형 및 공격 방식
   • 이번 해킹에서 발견된 악성코드는 BPFDoor 계열의 백도어 악성코드로, 중국 및 러시아 해커 조직이 과거에 사용했던 방식과 유사합니다.
   • BPFDoor 악성코드는 리눅스 서버를 대상으로 은밀하게 침투하여 장기간 정보 수집이 가능한 특징을 가지고 있습니다.
2. IP 주소 및 네트워크 흔적
   • 경찰은 SKT 피해 서버에서 발견된 악성코드의 통신 로그를 분석하고 있으며, 일부 중국 및 동유럽 지역의 IP 주소와 연결된 정황을 확인했습니다.
   • 하지만 VPN 및 프록시 서버를 이용한 우회 가능성이 있어 추가적인 분석이 필요합니다.
3. 과거 사례와의 유사성
   • 이번 공격 방식은 2023년 중국 해커 조직 ‘레드 멘션(Red Menshen)’이 한국 금융기관을 대상으로 했던 공격과 유사하다는 분석이 있습니다.
   • 특히 장기간 잠복 후 대규모 정보 유출을 시도하는 방식이 동일합니다.

 

 

 

현재 진행 중인 조사

• 경찰청 국가수사본부는 SKT 피해 서버와 악성코드 등 디지털 증거를 확보하여 침입 경로를 분석 중입니다.
• IP 추적을 통해 공격자의 신원을 특정하려는 작업을 진행 중이며, 국내외 공조를 통해 추가적인 증거를 확보할 계획입니다.

아직 공식적으로 배후 세력이 특정되지 않았지만, 조사 결과에 따라 추가적인 정보가 공개될 가능성이 높습니다.

 

 

결론

이번 해킹 사건은 단순한 사이버 범죄를 넘어 국가 안보 차원의 대응이 필요한 문제로 확대되고 있습니다.
특히 IMEI 유출이 확인되면서 복제폰 및 금융사기 위험이 커질 가능성이 제기되고 있으며, 정부와 SKT가 추가적인 보안 강화 및 피해 예방 조치를 마련할 것으로 보입니다.

 

SKT 해킹사태 조치사항

지금 확인하기