[일문일답] 류제명 차관 "IMEI 유출되더라도 단말기 복제 불가"

4일 과기정통부 SKT 민관합동조사단 조사 최종 결과 발표

▲류제명 과학기술정보통신부 제2차관이 4일 오후 서울 종로구 정부서울청사 본관 브리핑룸에서 'SK텔레콤 침해사고 최종 조사결과' 관련 브리핑을 하고 있다. (사진제공=과학기술정보통신부)

정부가 SK텔레콤 유심 해킹 사고와 관련해 단말기식별번호(IMEI)가 유출됐다 하더라도 유출로 인한 복제 피해는 발생하지 않는다고 선을 그었다. 제조사 인증값까지 탈취하지 않는 이상 단말기 복제는 불가능하다는 것이다.

류제명 과기정통부 제2차관은 4일 SK텔레콤 사이버 침해 사고 민관합동조사단 발표에서 로그 기록이 남아있지 않아 과거 감염 서버 중 단말기식별번호(IMEI) 유출 여부가 정확히 확인되지 않았으나 IMEI값이 유출됐다 하더라도 단말기 복제는 불가능하다고 밝혔다.

류 차관은 "IMEI가 설령, 15개 숫자로 구성된 IMEI 값, 단말기 식별정보가 유출됐다 하더라도 제조사가 가진 그런 인증 값을 동시에 탈취하지 않으면 단말기 복제는 불가능하다는 것이 저희가 질의했던 (단말기) 사업자, 제조사와 칩. 제조사들의 공통된 의견"이라고 말했다.

조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 포렌식 분석 결과, BPFDoor 27종을 포함한 악성코드 33종을 확인했다. 악성코드는 BPFDoor 27종, 타이니쉘 3종, 웹쉘 1종, 오픈소스 악성코드 2종(CrossC2 1종, 슬리버 1종)이다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI·유심 내 저장되며, 통신사가 사용자 식별 시 사용) 등 유심정보 25종이다. 유출 규모는 9.82GB, IMSI 기준 약 2696만 건이다.

다음은 △류제명 과기정통부 2차관 △최우혁 정보보호네트워크정책관 △이도규 통신정책관△이동근 KISA 디지털대응본부장과 일문일답.

Q. SKT에서 유출된 개인정보가 실제 피해로 이어질 가능성이 있는지?

"유심 복제로 인한 피해 실마리(가능성)는 발견하지 못했다. 유심 보호 서비스와 부정사용방지 시스템 고도화 과정을 통해 피해 우려는 차단하고 있다는 판단이다. 추가적인 조사에서도 피해 가능성은 발견하지 못했다."

제조사들의 설명 외에 사업자들이 그런 복제폰, 복제유심과 복제폰을 통한 네트워크 접속을 차단하기 위한 그런 노력들을 계속하고 있고 고도화 작업들을 하고 있어서 제 판단에는 국민들께서 복제폰과 복제유심, 복제폰으로 인한 걱정을 하시는 거는 안 하셔도 되지 않을까 그런 생각은 하고 있다.

Q. 고객 관리망엔 어떤 악성코드가 있었고, 무슨 정보가 유출된 건가?

"2번, 추가 거점 확보에서 고객관리망은 장기간에 걸쳐서 침투들을 여러 시도한 정황이 보인다. 그런데 지금 초록색의 관리망 서버는 거점 확보를 위한 용도로 판단이 되고, 여기서 추가적으로 연계된 유출이나 이런 것들은 안 보인다. 그런데 1번에서 바로 HSS 코어망으로 접속을 해서 4월 18일에 실제적인 유출은 거기서 이루어진 것이다. 관리망, 2번에서는 침투된 사실만 확인했고 추가적인 활동은 확인하지 못했다."

(이동근 KISA 디지털대응본부장) "고객 관련된 정보가 평문으로 저장돼 있던 서버고 거기에 해커가 악성코드를 감염시킨 게 확인됐다. 그런데 저희가 당시 로그만 기준으로 조사했을 때는 유출 정황은 확인이 안 됐다. 그 부분 관련해서는 감염은 됐지만 실질적으로 정보가 유출된 것은 확인이 안 됐다고 말씀 드릴 수 있다."

Q. 민관합동조사단 조사 과정을 조금 더 면밀히 설명해달라.

(최우혁 과기정통부 정보보호네트워크정책관) 통상적으로 문제가 되는 이슈, A사 같은 경우는 어디라고 말씀은 못 드리겠지만 100여 대 정도만, 주로 문제가 되는 지점만 점검했었다. 이번에는 BPFDoor의 특성이나 이런 걸 고려해서 전수를 하면서 약 4만여 대 이상을 갖다가 저희가 점검을 했다. 그래서 저희가 '강도 높은 조사'라는 표현을 쓰고 있다.

(이동근 KISA 디지털대응본부장) "먼저 2022년 2월에 있었던 사고에 대해 말씀드리겠다. 당시 SKT에서는 비정상적인 재부팅이 발생한 현상에 대해서 조사를 시작했고, 관련된 악성코드 감염 이슈가 있다는 걸 알아서 서버에 대한 점검을 시작했다. 그 과정에서 악성코드도 2개를 찾았다.

Q. CDR이 유출됐을 때 위험성을 개인이 판단할 수 있는가?

(이동근 KISA 디지털대응본부장) CDR이라는 게 결국은 누가 언제 누구랑 통화했는지에 대한 기록 부분이기 때문에 그거를 가지고 어떤 식으로 범죄라든지 아니면 피해를 일으켰을지는 지금 명확하게 시나리오나 이런 걸 만들기에는 어려운 상황이다. 직접적인 피해와 연관되지는 않기 때문에. 어떻게 보면 약간 개인의 사생활이라든지 이런 부분하고 관련된 영향이 있을 수는 있겠지만, 개인이 직접 인지하고 신고하는 건 현실적으로는 조금 어렵다. 다른 기술적인 분석이나 전문가들도 동일한 판단을 내릴 것 같다.