SKT 해킹 사태 후속: 충격적인 2차 조사 결과, 피해 규모 상상 초월... IMEI 유출 가능성까지?

 

Pixabay - Hacking

안녕하세요, 지난번 SK텔레콤 유심 정보 유출 의심 사고에 대한 분석 글을 올린 후 많은 분들께서 여전히 불안감을 느끼고 계실 것 같습니다.

당시 저는 유출된 것으로 의심되는 정보의 종류와 그 위험성, 그리고 2단계 인증(2FA)과의 관계에 대해 자세히 설명해 드렸는데요.

그런데, 안타깝게도 상황은 우리가 예상했던 것보다 훨씬 더 심각한 것으로 드러나고 있습니다. 

정부 민관합동조사단의 2차 조사 결과가 발표되면서, 해킹 피해 규모와 유출 정보의 범위가 이전 발표 내용을 훨씬 뛰어넘는다는 사실이 확인되었습니다. 

오늘 포스팅에서는 이 충격적인 2차 조사 결과의 주요 내용을 짚어보고, 이것이 우리에게 어떤 의미를 가지는지, 그리고 우리는 어떻게 더욱 강력하게 대응해야 하는지 다시 한번 고민해보겠습니다.

예상을 뛰어넘는 피해 규모: 무엇이 얼마나 더 새어 나갔나?

지난 5월 19일 발표된 민관합동조사단의 2차 중간 조사 결과는 그야말로 충격적이었습니다. 

1차 발표와 비교했을 때, 해킹의 실체는 더욱 거대하고 심각했습니다.

1. 감염 서버 및 악성코드 대폭 증가:
   최초 악성코드에 감염된 것으로 파악되었던 서버는 5대였으나, 이번 조사 결과 총 23대로 늘어났습니다.
   무려 18대가 추가로 확인된 것입니다.
   해킹에 사용된 악성코드 역시 기존 4종 (이후 8종 추가 발견)에서 총 25종으로 대폭 증가했습니다.
   이는 공격이 훨씬 더 광범위하고 다각적으로 이루어졌다는것을 말합니다.
   
   
2. IMSI 유출 건수, 전체 가입자 수 초과:
   가장 우려스러운 부분 중 하나는 유심의 핵심 식별 정보인 IMSI(국제모바일가입자식별번호) 유출 규모입니다.
   확인된 유출 건수는 무려 2,695만 7,749건에 달합니다.
   이는 SK텔레콤 전체 가입자(알뜰폰 포함 약 2,500만 명) 수를 훌쩍 뛰어넘는 수치입니다. 그냥 다 털렸다는 것이죠.
   SK텔레콤 측은 "스마트폰 외 스마트워치, IoT(사물인터넷) 기기 등에 탑재된 유심을 모두 합친 수치이며, 타 통신사로 이전한 가입자 정보는 유출되지 않았다"고 해명했지만, 여전히 방대한 양의 민감 정보가 유출되었다는 사실은 변하지 않습니다.
   
   
3. IMEI 등 개인정보 추가 유출 가능성 제기:
   지난 1차 발표에서는 "IMEI(단말기 고유식별번호) 유출은 없었다"고 선을 그었으나, 이번 2차 조사에서는 IMEI를 포함한 이름, 생년월일, 전화번호, 이메일 등 개인정보가 추가로 유출되었을 가능성이 새롭게 제기되었습니다.
   악성코드에 감염된 서버 중 이러한 개인정보를 임시 보관하는 서버 2대가 확인되었고, 이 서버의 파일에서 총 29만 1,831건의 IMEI가 포함된 것으로 드러났습니다.
   조사단에 따르면 2023년 12월부터 2025년 4월까지는 자료 유출이 없었으나,
   해당 서버에 악성코드가 최초 설치된 시점인 2022년 6월부터 2023년 12월 사이의 자료 유출 여부는 아직 확인되지 않았습니다.
   이 기간 동안 IMEI를 포함한 개인정보가 유출되었을 가능성을 배제할 수 없는 상황입니다.

IMEI 유출, 왜 더 치명적인가?

제가 이전 글에서 유심 복제 시나리오를 설명드리면서, 'USIM 복제 + 피해자 IMEI 사용'이 가장 위험한 최악의 시나리오라고 말씀드렸던 것을 기억하실 겁니다.

• 유심보호서비스의 한계:
  SK텔레콤에서 제공하는 '유심보호서비스'는 유심(IMSI)과 단말기(IMEI)를 한 쌍으로 묶어, 등록된 IMEI와 다른 단말기에서 해당 유심 사용을 차단하는 원리입니다.
  그러나 만약 IMSI와 K값 등 유심 핵심 정보와 함께 IMEI까지 모두 유출되었다면, 공격자는 이 정보를 결합하여 피해자의 단말기까지 완벽하게 도용할 수 있게 됩니다. 이 경우 유심보호서비스만으로는 복제폰 우려를 완전히 해소하기 어렵습니다.
  
  
• 더욱 정교한 복제폰 가능성:
  IMEI는 유심 인증키(K값)처럼 비밀 정보는 아니지만, 유심 정보와 결합될 경우 공격자에게 매우 강력한 무기를 쥐여주는 셈입니다.

정부 관계자는 "SK텔레콤이 최근 추가로 도입한 이상거래탐지시스템(FDS)을 이용하면 설령 IMEI가 유출됐다고 하더라도 복제폰 우려는 원천 차단할 수 있다"고 언급했지만, 이 FDS 시스템이 모든 잠재적 위협을 완벽하게, 그리고 즉각적으로 막아낼 수 있을지에 대해서는 지속적인 검증과 주의가 필요해 보입니다.

우리의 불안감은 현실로: 이제 무엇을 해야 하나?

상황이 예상보다 훨씬 심각하다는 것이 드러나면서, 우리의 불안감은 더욱 커질 수밖에 없습니다. 

특히 2022년 6월부터 2023년 12월 사이에 IMEI를 포함한 개인정보 유출 가능성이 확인되지 않았다는 점은 해당 기간 SKT 서비스를 이용했던 (혹은 지금도 이용 중인) 모든 고객에게 큰 걱정거리입니다.

지난번 글에서 제시했던 대응 방안들은 여전히 유효합니다.

• SK텔레콤 및 관계 당국(KISA, 개인정보보호위원회 등)의 공식 안내 확인 및 조치 이행.
• 출처 불분명한 문자메시지, 이메일, 전화 경계. (특히 개인/금융정보 요구, 앱 설치 유도 극도로 주의)
• 강력한 2단계 인증 수단 사용. (SMS 인증보다는 앱 기반 OTP, 하드웨어 보안키 적극 권장)
• 금융 거래 및 휴대폰 이용 내역 수시 확인.
• 유심 보호 서비스 등 부가 서비스 활용 고려.
  
  여기에 더해, 이번 2차 조사 결과를 바탕으로 다음과 같은 조치를 더욱 적극적으로 고려해야 합니다.

1. 유심(USIM) 교체, 이제는 선택이 아닌 필수?:
   IMEI 유출 가능성이 제기된 이상, 그리고 유출 여부가 불투명한 기간이 존재하는 이상, 가장 근본적이고 확실한 예방책은 유심을 교체하여 기존 유심 정보를 무효화하는 것입니다.
   특히, 개인정보 유출 가능 기간(2022년 6월~2023년 12월)에 SKT 서비스를 이용하셨거나, 조금이라도 불안감을 느끼신다면 적극적으로 유심 교체를 고려하시는 것이 좋겠습니다. 
   하지만 아직까지 SKT에서 말하는 전 가입자 대상 유심 공급은 2달 이상 소요될 예정이므로, esim이 사용 가능한 스마트폰을 사용하시는 분은 esim으로라도 교체하시길 권장드립니다.
   
   
2. SK텔레콤의 FDS 및 추가 보안 조치 확인:
   SK텔레콤이 언급한 이상거래탐지시스템(FDS)의 구체적인 작동 방식과 적용 범위, 그리고 고객을 위한 추가적인 보안 강화 조치가 무엇인지 명확한 안내를 요구하고 확인해야 합니다.
   
   
3. 개인정보보호위원회 최종 조사 결과 주시:
   과기정통부는 개인정보 유출 가능성을 지난 5월 13일 개인정보보호위원회에 통보했다고 밝혔습니다.
   개인정보보호위원회의 최종 조사 결과에 따라 피해 구제 방안이나 기업에 대한 제재 등이 결정될 수 있으므로, 관련 소식에 계속 귀를 기울여야 합니다.

결론: 끝나지 않은 위협, 더욱 높아져야 할 경각심

SK텔레콤 해킹 사태는 2차 조사 결과 발표로 새로운 국면을 맞았습니다.

유출 규모와 정보의 민감도가 당초 예상을 훨씬 뛰어넘는다는 사실은 우리에게 다시 한번 큰 경고를 보내고 있습니다.

특히 IMEI 유출 가능성과 특정 기간 동안의 유출 여부 미확인 상태는 많은 이용자들에게 지속적인 불안감을 안겨줄 것입니다. 

SKT는 고객 정보 보호를 위한 전방위적인 시스템 강화와 투명한 정보 공개, 그리고 실질적인 피해 예방 및 구제 대책 마련에 총력을 기울여야 하는것이 당연한데, 이 당연한게 이뤄지지 않는 것 같아서 답답하네요.

귀찮으시겠지만 유심 교체, 강력한 인증 수단 사용, 의심스러운 접근에 대한 철저한 경계 등 적극적인 행동이 그 어느 때보다 중요합니다. 

부디 이번 사태가 우리 사회 전체의 정보보호 시스템을 한 단계 끌어올리는 계기가 되기를 바라며, 추가적인 소식이 나오는 대로 다시 한번 정리해 드리겠습니다.