“4년간 침투한 악성코드”…SK텔레콤, 유심정보 2696만건 유출 충격

SK텔레콤에서 발생한 대규모 해킹 침투가 이동통신 산업의 보안 프레임을 흔들고 있다. 과학기술정보통신부가 4일 발표한 민관합동조사단 결과, SK텔레콤은 지난 2021년 8월부터 약 4년간 공격자에게 내부 서버가 장기간 노출됐고, 총 9.82GB 분량의 고객 유심정보 2696만건(IMSI 기준)이 유출된 것으로 드러났다. 업계에서는 이번 사태를 ‘국내 통신망 보안 경쟁의 전환점’으로 평가하며, 기술적·관리적 허점이 재조명됐다.

조사에 따르면, 해커는 SK텔레콤 내 28대 서버를 목표로 33종 악성코드(백도어 BPFdoor 27종, 타이니쉘 3종, 웹쉘 1종, CrossC2·슬리버 등 오픈소스 2종)를 은닉 배치했다. 이 과정에서 서버 내 전화번호, 가입자 식별번호(IMSI) 등 25종의 유심정보가 평문 상태로 저장돼 유출 위험성을 키웠다. 임시 저장된 단말기식별번호(IMEI), 이름, 생년월일, 이메일 등 고객 개인정보와 통신기록(CDR) 역시 일부 서버에 평문 보관됐던 점이 확인됐다. 특히 서버A·B 등 주요 관리망 계정 정보(ID·비밀번호)마저 암호화 없이 노출돼 공격자의 내부 확산이 손쉬웠던 것으로 드러났다. 악성코드 감염 시점 이후 서버 방화벽 로그가 남지 않은 기간이 길어, 실제 자료 유출 규모는 확인 불가 구간이 발생했다. 

기술적으로 해커는 2021년 8월 최초 침입 시 CrossC2 악성코드를 외부 인터넷 연결 서버에 설치, 내부 계정 정보로 연쇄 이동·침투에 성공했다. 이후 2022년 6월부터는 고객 관리망까지 뚫고 공격 폭을 확장, 2023년 11월 30일부터 추가 악성코드 배포가 이어진 것으로 조사됐다. 최종적으로 2024년 4월 18일에는 핵심 유심정보 데이터가 외부 접점 서버C를 통해 유출됐다.

이같은 침해 정황에서 드러난 평문(비암호화) 저장, 관리망·코어망 계정정보 일괄 유출, 방화벽 등 전통 보안시스템 내 로그부재 등은 통신 사업자 내부 정보보호 체계의 구조적 한계, 그리고 장기적으로 은닉 가능한 신종 악성코드(BPFdoor 계열)의 탐지 난점이 복합된 사고였다는 평가다. 글로벌 이동통신 산업에서는 이미 백도어 악성코드 탐지가 실시간 위협으로 대두되고 있고, 데이터 주고받기 회선 보안성, 정보 저장 암호화 등도 정책적 점검이 강화되는 추세다.

현재 국내 규정상 SK텔레콤은 사고인지 후 24시간 이내 신고의무를 이행했지만, 사전·상시적인 보안관리 및 보관 데이터 암호화 의무 등에 있어 체계 개편 요구가 커지고 있다. 민관합동조사단은 향후 전체 서버(4만2605대) 대상 악성코드 감염 여부와 정보유출 가능성까지 2차 점검을 완료한다는 방침이다.

한국인터넷진흥원, 과학기술정보통신부 등은 "빅테크·통신 인프라 기업 전반에 대형 해킹 침투 위협이 상존하고 있다"며 "평문 개인정보 저장 금지, 실시간 위협 탐지, 악성코드 분석공유 의무화 등 제도 재정비도 고려 대상"이라고 설명했다. 전문가들은 “장기 은닉형 공격이 확산되는 만큼, 산업 내 기존 관행과 보안관리의 근본적 재설계가 시급”하다고 진단한다. 산업계는 피해 규모 파악과 함께, 유사 침투 방지 대책이 실제 현장에 뿌리내릴 수 있을지 주시하고 있다.