SK텔레콤 해킹으로 가입자 전원의 유심(USIM) 정보뿐 아니라 개인정보가 관리되는 서버도 공격을 받은 것으로 확인됐다. 다만 현재 유출 여부는 파악하지 못했다.
SK텔레콤 해킹 사건을 조사 중인 민관 합동 조사단은 19일 정부서울청사에서 2차 조사 결과를 발표했다. 1차 조사 결과에서 악성 코드에 감염된 서버 5대 중 홈가입자서버(HSS) 3대에서 가입자 식별번호(IMSI), 인증키 등 유심 정보 4종을 포함한 25종의 정보 유출이 확인됐다. 이번 2차 조사 결과 감염 서버가 18대 추가로 발견됐다.
SK텔레콤이 해킹 공격을 받은 서버는 총 23대로 늘어났다. 현재까지 15대는 포렌식 등 정밀 분석이 완료했으나 8대는 5월말까지 분석을 완료할 예정이다.
특히 감염이 확인된 서버 중 2대는 개인정보가 일정 기간 임시로 관리되는 서버로 조사됐다. 해당 서버는 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 이름, 생년월일, 전화번호, 이메일 등 다수의 개인정보가 포함됐다.
조사단은 조사 초기 IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검해 감염되지 않음을 확인했다고 밝힌 바 있다. 이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 총 29만2831건의 IMEI 등이 포함되고 있는 것을 확인한 것이라고 부연했다.
이에 1차 조사에서 가능성이 없다고 보였던 개인정보 유출 가능성이 대두된다.
다만 2차에 걸친 정밀 조사 결과, 방화벽 접속(로그)기록이 남아있는 지난해 12월 3일부터 지난달 24일에는 데이터 유출이 없었다고 밝혔다. 최초 악성코드 설치된 시점인 2022년 6월 15일부터 지난해 12월 2일까지의 로그 기록이 남지 않은 기간의 자료 유출 여부는 확인되지 않았다.
조사단은 개인정보 등이 저장된 문제의 서버 해킹을 확인한 시점인 지난 11일 SK텔레콤에 자료 유출 가능성을 자체 확인하고 이용자 피해를 막을 조치를 강구할 것을 요구했다.
아울러 조사단은 13일 개인정보의 경우 개인정보위원회에서 정밀한 조사가 필요한 사항이라고 보고 사실을 통보했다. 이어 사업자 동의를 얻어 조사단에서 확보한 서버자료를 개인정보위에 공유했다.
