세계일보

SK텔레콤에서 해커가 빼돌린 정보는 전화번호·가입자식별키(IMSI) 등 4종이어서 유심복제가 가능한 것으로 조사됐다. 단말기 고유식별번호(IMEI)는 빠져나가지 않아 이른바 ‘심스와핑’은 우려하지 않아도 되는 것으로 확인됐다. 다만 유출된 유심정보를 활용해 단말기 재부팅 등을 유도하는 피싱·스미싱이 시도될 수 있는만큼 주의가 당부된다. 

◆정부 “심스와핑 걱정 안해도 돼”

과학기술정보통신부는 29일 해킹으로 SKT 가입자 전화번호, 가입자식별키 등 유심 복제에 활용될 수 있는 정보 4종이 빼돌려졌음을 확인했다고 민관합동조사단의 1차 조사결과를 발표했다. 유심 정보 처리 등에 필요한 SKT 자체 관리용 정보 21종도 빠져나갔다.

단말기 고유식별번호는 유출되지 않았다. 조사단은 “SKT 유심보호서비스에 가입하는 경우, 이번에 유출된 정보로 유심을 복제해 다른 휴대전화에 꽂아 불법적 행위를 하는 이른바 ‘심스와핑’이 방지됨을 확인했다”고 전했다. 조사단은 SKT가 공격받은 정황이 있는 서버 3종, 5대를 최근 1주일간 조사했다. 현재 기타 중요 정보들이 포함된 서버들로 조사 대상을 확대 중이다. 

앞서 유상임 과기부 장관이 SKT 조사에 한두 달쯤 걸릴 것으로 예상했음에도 정부가 일주일 만에 1차 결과를 내놓은 것은 SKT 정보 유출로 인한 혼란과 파장이 심각하다고 판단했기 때문으로 보인다. 전날부터 SKT가 유심 무료교체를 시작하면서 전국 대리점에서는 ‘오픈런’(개장 전부터 긴 줄 서기)이 벌어지고, 한시간 넘게 줄서고도 유심을 바꾸지 못해 허탕 친 고객이 속출했다. SKT에서 언제부터 어떤 정보가 유출됐는지 밝혀지지 않으면서 SKT에 대한 불신과 범죄에 악용될 가능성에 대한 우려도 눈덩이처럼 불어났다. 온라인에서는 비대면 여신거래 정지 등 각종 ‘자력구제책’이 공유되고 있다. 이에 정부는 다소 이르더라도 1차로 확인된 조사 결과를 공유해 국민 불안을 잠재우려 한 것으로 풀이된다.

정부 발표에 따르면 가입자 고유번호 등 빠져나간 정보 4종을 통한 유심 복제는 가능하지만, 단말기 고유식별번호는 유출되지 않아 복제된 유심으로 휴대전화 주도권을 탈취하는 ‘심스와핑’은 불가능하다. 다만 유심 정보를 활용한 스미싱(문자메시지와 피싱을 합친 범죄) 시도는 가능하다. 해커가 ‘명의 도용 등을 막기 위해 휴대폰을 껐다 켜달라’ 등의 스미싱 문자를 보냈을 때 그대로 따라하면 휴대전화 주도권을 빼앗길 수 있다. 한국인터넷진흥원(KISA)은 휴대전화 재부팅을 요구하는 피싱 메시지가 오면 절대 따르지 말고 신고해달라고 당부했다.

김범수 연세대 정보대학원 교수는 “유심 물량이 부족한 상황에서 유심 교체를 위해 대리점 앞에 긴 줄을 서는 수고를 하기보다 유심보호서비스를 먼저 활용하는 것이 낫다”며 “또 이번 사태는 피싱·스미싱을 시도하기에 굉장히 좋은 기회이기에 이를 당하면 놀라거나 허둥지둥하지 말고 관계 기관에 신고해달라”고 당부했다.

◆침투에 BPF도어 계열 악성코드 사용

민관조사단은 이번 해킹 사건 조사 과정에서 침투에 사용된 BPF도어(BPFDoor) 계열의 악성코드 4종을 발견했다. 이 공격 수법은 리눅스 운영체제에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF를 악용한 백도어다. 은닉성이 높아 해커의 통신 내용을 탐지하기 어려운 특징이 있다. 과기부는 조사 결과를 발표하면서 “유심 교체에 상응하는 예방 효과를 가진 유심보호 서비스 가입을 적극 권장한다”고 당부했다.

국민의힘 최수진 의원에 따르면 SKT는 해킹 인지 직후 자체 포렌식에 착수했으나 실패한 것으로 전해졌다. 해커가 침입 경로 등의 흔적을 모두 지우고 빠져나가 자체 조사에 난항을 겪은 탓이다.

더불어민주당 최민희 의원이 SKT에서 제출 받은 자료에 따르면 이번 해킹으로 유출된 정보는 이미지, 영상 정보가 아닌 텍스트 데이터다. 용량은 9.7GB(기가바이트)에 달한다. 유심 정보량 144KB(킬로바이트)로 나누면 무려 6736만명분이 빠져나간 셈이다. 다만 이번 정보 유출은 SKT가 가입자 정보를 분산한 서버 총 14대 가운데 3대에서만 일어났다. 최 위원장실에 따르면 인터넷망으로 침입한 해커는 각각의 방화벽을 뚫고 SKT 사내망을 거쳐 관리망까지 뚫은 뒤 가장 심층부인 내부망에 접근한 것으로 파악됐다.

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]