민관합동조사단, SKT 23대 서버서 악성코드 25종 발견 … “추가 정보 유출은 없었다”

민관합동조사단(이하 조사단)이 SK텔레콤의 사이버 침해사건에 대한 조사결과, 추가 악성코드를 발견했다. 다만 이 악성코드로 인한 추가 정보 유출은 현재까지 확인되지 않았다. 

조사단은 19일 SKT 침해사고 조사결과 2차 발표를 통해 현재까지 23대 서버에서 악성코드 25종(BPFDoor계열 24종+웹셸 1종)을 발견·조치했다고 밝혔다. 

이는 지난달 29일 1차 발표 당시 5대 서버에 4종의 악성코드가 발견된 것보다 대폭 늘어난 것이다. 

조사단은 총 4차례에 걸친 점검을 진행했는데, 1~3차 점검은 SKT가 자체 점검 후 조사단이 이를 검증하는 방식으로 진행했다. 4차 점검은 한국인터넷진흥원(KISA)의 인력을 지원 받아 직접 조사를 진행했다. 

이 과정에서 공격을 받은 정황이 있는 서버는 추가로 18대가 식별됐다. 총 23대 중 현재까지 15대는 정밀 분석(포렌식, 로그분석)을 완료했으며, 8대는 5월말까지 분석을 완료할 예정이다.

분석이 완료된 15대 중 개인정보 등을 저장하는 서버 2대에 대해서는 2차에 걸쳐 자료 유출 여부를 추가 조사했다. 해당 서버에는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 담겼다.

결과적으로 방화벽 로그기록이 남아있는 기간(24.12.3.∼25.4.24)에는 자료유출이 없었던 것으로 확인됐다. 다만 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(22.6.15.∼24.12.2)의 자료 유출 여부는 현재까지는 확인되지 않았다. 

조사단은 “개인정보 등이 저장된 문제의 서버들을 확인한 즉시 사업자에게 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체 확인하고 이로 인한 국민 피해를 예방할 수 있는 조치를 강구하라고 요구했다”고 밝혔다.

이어 “개인정보의 경우 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라 보고 개인정보보호위원회에도 개인정보가 포함돼 있다는 사실을 통보(하는 한편, 사업자 동의를 얻어 조사단에서 확보한 서버자료를 개인정보보호위원회에 공유했다”고 덧붙였다.

조사단은 앞으로도 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우 이를 투명하게 공개하고 사업자로 하여금 신속히 대응토록 하는 한편 정부 차원의 대응책도 강구해 나간다는 계획이다.