IMEI 저장 서버 감염과 악성코드 정황
SK텔레콤은 지난 19일 ‘일일 브리핑’을 통해 해킹 사고와 관련된 구체적인 경과와 대응 방안을 공개했다. 이날 발표에서 SKT는 고객의 단말기 고유식별번호(IMEI) 등이 포함된 민감 정보가 저장된 일부 서버가 악성코드에 감염됐다는 사실을 인정했다. 특히 이번 조사는 민관합동조사단의 2차 분석 결과를 바탕으로 한 것으로, 전체 3만여 대의 리눅스 서버 중 23대에서 총 25종의 악성코드가 발견되었다.
악성코드는 대부분 BPFDoor 계열이었으며, 1종의 웹셸도 포함되어 있었다. 조사단은 서버의 방화벽 로그 분석 결과를 근거로, 최근 2024년 12월부터 2025년 4월까지는 외부로의 정보 유출 흔적이 없다고 판단했다. 그러나 최초 악성코드가 설치된 것으로 추정되는 2022년 6월부터 약 2년간은 로그가 존재하지 않아, 이 기간 동안의 정보 유출 여부는 확인할 수 없었다. 이 점이 논란의 중심에 서 있다.
SKT는 문제의 서버가 임시 요청 처리를 위한 목적이었다고 해명했지만, 조사단은 해당 서버에 29만 건 이상의 IMEI가 포함되어 있었음을 확인했다. 류정환 네트워크인프라센터장은 “이 IMEI 정보는 유출된 것이 아니며, 현재 FDS 시스템을 통해 자사 망에서의 사용은 차단되고 있다”고 밝혔다. 하지만 IMEI 외에도 이름과 생년월일 등 다른 개인정보의 저장 여부에 대한 우려는 여전히 남아 있다.
망 접속 차단 기술과 보안 체계
SKT는 이번 해킹 사태에 대해 자사의 삼중 보안 체계를 강조하며, 유심 복제나 단말 복제를 통한 2차 피해 발생 가능성이 극히 낮다고 주장했다. 복제폰이 실제로 만들어지더라도, 현재의 기술로는 SKT 통신망 내 접속 자체가 불가능하다는 입장이다. 이를 뒷받침하기 위해 SKT는 FDS 2.0이라는 고도화된 보안 시스템을 설명했다. FDS 1.0이 불법 유심 복제를 막는 역할을 했다면, 2.0은 단말기 복제까지 탐지하고 차단한다.
류정환 센터장은 "정상 가입자와 정상 유심, 정상 단말기 여부를 모두 통과하는 조합을 만들어낸다는 것은 사실상 불가능하며, 그 확률은 각각 2의 43승 분의 1, 10의 38승 분의 1 수준으로 계산된다"고 설명했다. 이에 따라 실제 피해로 이어지기엔 기술적으로 매우 어렵다는 것이다. 더불어 칩셋 제조사, 단말 제조사 등도 IMEI 변경이나 복제가 어렵다는 공식 입장을 밝혔다.
특히 SKT는 자사 망에 접속하려는 복제폰을 차단할 수 있는 기술력을 강조했다. 류 센터장은 “FDS 2.0은 알뜰폰(MVNO) 사용자에게도 동일하게 적용되고 있으며, 복제폰이 접속할 경우 망 인증 단계에서 자동으로 탐지·차단된다”고 말했다. 이와 함께, “30초 안에 꺼진 폰의 정보를 해커가 탈취한다”는 루머에 대해서도, “현실성 없는 주장”이라고 일축했다. 가입자 인증과 유심 검증이 동시에 진행되기 때문에 그런 방식의 침입은 불가능하다는 설명이다.
보안 부실 논란과 향후 개선 방안
SKT는 피해 가능성이 낮다고 주장하고 있으나, 보안 체계의 근본적 취약성이 드러난 점에서 비판을 피하긴 어렵다. 특히 악성코드가 장기간 잠복해 있었고, 민감정보가 암호화되지 않은 채 평문으로 저장되어 있었다는 조사단의 발표는 파장을 키웠다. 류정환 센터장은 "이번 사고를 계기로 보안 임계치를 재정의하고, 보안 방식을 점검·개선해나가겠다"고 밝혔다.
김희섭 PR센터장은 “모든 정보를 암호화하면 통신 서비스 성능 저하와 장애가 발생할 수 있다”면서, “법적으로 의무화된 정보 외에도 내부적으로 추가 암호화를 적용할 수 있는 방법을 모색하겠다”고 말했다. 이러한 발언은 실효성 있는 대응보다 변명으로 비춰질 수 있어, 앞으로의 실질적 조치가 더 중요하다는 평가가 따른다.
또한 로그 보관 의무와 관련해, IMEI가 저장된 서버가 일반 사용자 대상 서비스가 아닌 개발자·관리자용이라는 점을 들어 법적 책임을 피하고자 했지만, 장기적으로는 로그 정책 개선도 필요하다는 지적이 제기되었다. 류 센터장도 이에 대해 “문제가 있다면 개선할 필요가 있다”고 인정했다. 그는 또한 “악성코드 설치 시점으로 알려진 2022년 6월의 로그는 보관되어 있지 않다”고 밝혔으며, 이로 인해 수사기관과 시각 차이가 존재할 수 있다고 덧붙였다.
이번 사태 이후 SKT는 유심 재발급을 희망하는 고객을 위해 유심 교체를 진행하고 있으며, 현재까지 누적 유심 교체 고객은 219만 명에 달한다. 잔여 예약 고객은 662만 명으로, 이는 보안 불안감에 따른 대규모 대응 조치로 분석된다.
결론
이번 SKT 해킹 사태는 민감정보 서버 감염과 평문 저장 등 심각한 보안 허점을 드러냈지만, SKT는 복제 유심·단말기를 통한 실질적 피해는 없으며 현존 기술로 자사 망 접속 차단이 가능하다고 강조했다.
하지만 장기간 침입을 탐지하지 못한 점, 평문 저장 등 보안 부실에 대한 지적은 여전히 남아 있다. 향후에는 보안 체계 고도화, 로그 정책 개선, 실시간 탐지 시스템 강화 등 지속적인 보완 노력이 필요하다.
사용자와의 신뢰 회복을 위해 SKT는 향후 추가적인 정보 공개와 투명한 대응, 그리고 실질적인 보안 강화 조치를 이어가야 할 것이다.
