[뉴스웍스=박광하 기자] SK텔레콤 내부 시스템 해킹에 의해 유출된 고객 유심(USIM) 정보가 사실상 전체 고객 전체 규모에 달하는 것으로 드러났다. 정보통신기술(ICT) 업계가 우려한 전체 고객 정보 유출이 확인된 것이다.

과학기술정보통신부는 19일 'SKT 침해사고 관련 민관합동조사단 중간 조사 결과' 브리핑에서 민관합동조사단이 지난 1차 조사 결과에서 발표한 유출된 유심정보의 규모가 9.82GB이며, 가입자 유심식별정보인 IMSI 정보 기준으로 약 2696만건임을 확인했다고 발표했다.

ICT 업계에서는 지난달 최민희 국회 과학기술정보방송통신위원장의 발표 내용을 근거로 이번 유출 유심 정보 규모가 SK텔레콤 망을 이용하는 2500만 고객 전체일 것으로 예측한 바 있다. 이번 발표로 사실상 모든 고객의 유심 정보가 유출됐음이 확인된 셈이다.

과기정통부는 브리핑에서 고객의 단말고유식별정보인 IMEI가 유출됐을 가능성도 언급했다.

조사단은 1차 발표 이후 공격을 받은 정황이 있는 서버를 추가로 18대 식별했다. 이에 따라 현재까지 총 23대가 공격을 받은 정황이 있는 것으로 확인됐다. 총 23대 중 15대는 포렌식, 로그 분석 등 정밀분석을 완료했으며, 나머지 8대는 5월 말까지 분석을 완료할 예정이다.

문제는 분석이 완료된 15대 중 개인정보 등을 임시 저장하는 2대를 확인했다는 점이다. 해당 서버는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 IMEI, 이름, 생년월일, 전화번호 등 다수의 개인정보가 있었다. 조사단은 이 서버에 저장된 파일에 총 29만1831건의 IME가 포함된 사실도 확인했다. 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI가 포함되고 있음을 확인한 것이다.

조사단 부단장인 이동근 한국인터넷진흥원 디지털위협대응본부장은 이들 정보가 평문으로 처리됐다고 밝혔다. 개인정보가 암호화됐더라면 해커가 개인정보를 탈취하더라도 이를 복호화하기 전에는 활용하는 게 어렵다.

로그 저장 기간이 짧아 분석에 한계가 있었음도 드러났다.

조사단이 2차에 걸쳐서 정밀 조사를 한 결과, 방화벽 로그기록이 남아 있는 2024년 12월 3일부터 2025년 4월 24일간에는 자료 유출이 없었다. 하지만 최초로 해당 서버에 악성코드가 설치된 시점인 2022년 6월 15일부터 로그기록이 남아 있지 않은 2024년 12월 2일까지는 자료 유출 여부가 현재까지는 확인되지 않았다. 이에 대해 정보보호업계는 SK텔레콤이 서버 로그 기록을 더 오래 보관했더라면 자료 유출 여부를 더욱 확실하게 알 수 있었을 것이라고 지적했다.

류제명 과기정통부 네트워크정책실장은 "보안 공지 시점과 접근 방법에 있어서 1~3차에 걸쳐서 다른 방식을 취해 왔는데, (이런 차이는 사건을) 은폐하거나 축소하기 위한 것이 아니다"라고 강조했다.

그는 또 "이번 사건에 사용된 악성코드와 공격 양태를 보면 지금까지보다 훨씬 더 정교한 분석 작업이 필요하고 노력이 많이 필요하다"며 "앞으로 잠재된 위험을 끝까지 파헤치지 않으면 앞으로도 큰 위험이 있을 수 있다는 판단에서 조사를 강도 높게 진행하고 있다"고 덧붙였다.