19일 SKT '일일 브리핑'…"현존 기술로 자사 망 내 접속 차단 가능"
삼중 보안 체계로 복제 유심·폰 제조 불가…30초 내 정보 털린다도 루머
악성코드 장기 침투·보안 부실엔 고개 숙여
류정환 SKT 네트워크인프라센터장 19일 서울 삼화타워에서 열린 '일일 브리핑'에서 발표하고 있다.ⓒ데일리안 조인영 기자
SK텔레콤(SKT)은 해킹 사태와 관련해 단말기 고유식별번호(IMEI) 등 민감한 개인정보가 저장된 서버가 악성코드에 감염된 사실이 확인된 가운데, 19일 현재까지 고객정보 유출은 확인되지 않았다고 밝혔다. 아울러 자사의 삼중 보안 체계를 통해 복제 유심과 단말 모두 실제 사용이 어려운 만큼, 피해 가능성도 극히 낮다고 강조했다.
다만 민감정보가 저장된 서버에 장기간 악성코드가 잠복했고, 개인정보가 평문으로 저장된 정황까지 드러나면서 정보보호 체계가 부실했다는 비판에 대해서는 거듭 고개를 숙였다.
SKT는 이날 오후 서울 삼화타워에서 '일일 브리핑'을 열고 SKT 침해사고 민관합동조사단(이하 조사단) 발표에 대한 입장을 항목별로 조목조목 설명했다.
앞서 조사단은 2차 조사에서 SKT 전체 리눅스 서버 3만여 대를 점검한 결과, 총 23대에서 악성코드 25종을 발견했다고 밝혔다.
2차 조사에서 드러난 악성코드는 총 25종(BPFDoor계열 24종 + 웹셸 1종)이다. 악성코드는 1차 공지(4월 25일)에서 4종, 2차 공지(5월 3일)에서 8종이 보고됐고, 이후 추가로 BPFDoor 계열 12종과 웹셸 1종이 발견되면서 총 25종으로 집계됐다.
조사단은 서버의 방화벽 로그 분석 결과, 방화벽 로그가 남아있는 기간(2024년 12월 3일∼2025년 4월 24일)에는 자료유출이 없었던 것으로 확인했다. 하지만 최초 악성코드 설치 시점으로 추정되는 2022년 6월 15일부터 약 2년간은 로그가 남아있지 않아, 이 기간 유출 여부는 파악되지 않고 있다고 했다.
악성 코드와 감염 서버가 늘어난 것에 대해 류정환 SKT 네트워크인프라센터장은 해커 활동에 의한 증적이라고 설명했다. 류 센터장은 "해커가 작정을 하고 어느 정도 침입을 하면 여러가지 활동을 할 것"이라며 "SKT 망에서도 다양한 활동을 하면서 증적을 남겨 감염 서버가 늘어나고 악성 코드도 증가한 것으로 판단한다"고 말했다.
그는 이어 "중요한 것은 서버가 더 이상 피해를 내지 않도록 격리 조치 했다는 것"이라며 "꺼놨다고 봐도 무방하기 때문에 이로 인한 영향은 현재까지 없다"고 덧붙였다.
조사단은 또한 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있음을 확인했다. 해당 서버의 저장된 파일에는 총 29만1831건의 IMEI가 포함됐다.
이에 대해 류 센터장은 "29만건은 유출된 것이 아니다. FDS(비정상 인증 차단 시스템)를 통해 SKT 망에서 차단하고 있어 안심해도 된다"고 강조했다. 이름, 생년월일 등 개인정보 유출 우려에 대해서도 "아직까지 확인된 바 없으며 센싱 체계를 고도화시켜 나가고 있다"고 설명했다.
센싱 체계에 대해 류 센터장은 통합 보안 관제, EDR(단말 탐지 및 대응 시스템), 방화벽 등 세 가지 통합 보안 관제 시스템을 유지하고 있으며, 수사 기관에 의뢰해 불법 유심, 불법 단말 복제 관련 SKT 피해 기록을 전수 조사했을 때도 정보 유출 여부는 찾지 못했다고 강조했다.
SKT는 IMEI가 노출됐다고 하더라도 복제폰이 실제로 만들어질 가능성은 매우 낮다고 거듭 강조했다.
불법 복제를 위해서는 단말기 제조사와 이동통신사의 이중 인증을 모두 통과해야 하기 때문에, 현실적으로 성립이 어렵다는 설명이다. 류정환 네트워크인프라센터장은 “단말기 제조사 A는 ‘제3자에 의한 복제가 불가능하다’, 제조사 B는 ‘IMEI 불법 복제가 어렵다’고 밝혔다”며, “칩셋 제조사도 ‘상용폰의 IMEI 변경은 불가능하다’고 답했다”고 말했다.
이어 류 센터장은 “설령 단말 복제가 이뤄졌다고 해도, FDS 2.0 시스템을 통해 복제품이 SKT 망에 접속하는 것을 차단한다”고 밝혔다. FDS 1.0이 불법 유심 복제를 막는 시스템이라면, 2.0은 불법 단말 복제까지 차단하는 고도화된 버전이다.
수학적으로 정상 가입자, 정상 유심, 정상 단말기 여부를 뚫으려면 상당히 어렵기 때문에 사고 피해로 이어지기 힘들다고 SKT는 강조했다. 실제로 정상 가입자를 판별하는 경우의 수는 2의 43승 분의 1, 단말기에 꽂힌 유심이 망 인증을 통과할 확률은 10의 38승 분의 1 수준으로, 사실상 뚫기 어렵다는 입장이다.
설사 불법 복제가 이뤄지더라도, SKT는 현존하는 기술로 자사 망 내 접속을 모두 차단할 수 있다고 강조했다.
일부 온라인 커뮤니티를 중심으로 ‘휴대전화를 끄면 30초 안에 정보가 털린다’는 루머가 퍼진 데 대해, SKT는 사실과 다르다고 선을 그었다. 김희섭 PR센터장은 “같은 번호 전화기 2대가 통신망에 접속하지 못한다. 꺼진다고 하더라도 30초 안에 해커가 복제폰을 갖고 들어와 폰이 끊어지는 것도 아니다”라며 “유심 정보와 가입자 인증 등을 종합적으로 검증하기 때문에 그런 방식으로 피해가 발생할 수는 없다”고 설명했다.
"피해 발생 가능성 낮다" 주장 SKT…보안 소홀에는 "사과"
SKT는 피해 발생 가능성이 낮다고 거듭 강조했지만, 애초에 해킹 사고를 막지 못한 점에서 보안 체계 강화에 소홀했다는 비판은 피해가지 못했다.
임시 서버 보안 조치가 잘 취해졌다면 사고를 막을 수 있었던 것 아니냐에 대한 지적에 류 센터장은 "백신이나 암호화를 하는 게 무조건 좋을 수는 없다"면서도 "이번 사고를 계기로 임계치를 다시 보고 확산시켜 나갈 수 있도록 하겠다"고 답했다.
서버에 저장된 개인정보가 평문으로 저장돼있었다는 조사단 발표에는 "암호화를 법적으로 해야하는 것이 있고, 자체로 할 수 있는 것이 있다"면서 "모든 정보를 암호화하면 통신서비스 장애가 있을 수 있다. 이번 사고를 게기로 좀 더 안전하게 하는 방법을 강구하겠다"고 김희섭 PR센터장은 답했다.
IMEI가 저장된 서버는 일시적인 요청 처리를 위한 임시 서버로, 개인정보보호법상 로그 2년 보관 의무가 직접 적용되지는 않는 구조인 점도 도마 위에 올랐다. 류정환 센터장은 "관리자나 개발자의 경우 1년, 2년 보관해야 되지만 일반 사용자에 대한 조항은 없다"면서도 "개선해야 할 점이 있다면 짚고 가도록 하겠다"고 말했다.
조사단이 로그가 남아있지 않은 기간 IMEI 등 정보 유출 여부를 파악하기 어렵다고 밝힌 것과 관련해 류 센터장은 "저희도 그때까지의 로그는 없다"면서도 "우리가 가진 망 운영 데이터, 고객 불만 데이터, 경찰청 데이터를 종합적으로 판단한 결과를 말씀드리기 때문에 (조사단과) 우리 시각과 다를 수 있다"고 밝혔다.
최초 악성코드가 생성된 2022년 6월 이후 3년간 해커 침입을 몰랐다는 비판도 있었다. 류정환 센터장은 "침해를 잡기는 상당히 어렵다"면서도 "해커들은 생성 날짜를 조작하기도 해 날짜 특정은 의문이 있다"고 말했다.
한편 SKT 누적 유심 교체 고객은 219만명이며 잔여 예약 고객은 662만명이다. 유심 재설정 고객은 11만4000명으로 집계됐다.
SKT는 이번 해킹 사고와 관련해 알뜰폰(MVNO) 이용자에 대한 보안 조치도 확대했다. 류정환 네트워크인프라센터장은 “알뜰폰에 대한 FDS 2.0 역시 적용됐다”고 밝혔다.
츌처 : ©(주) 데일리안 무단전재 및 재배포 금지
조인영 기자 (ciy8100@dailian.co.kr)
류정환 SKT 네트워크인프라센터장 19일 서울 삼화타워에서 열린 '일일 브리핑'에서 발표하고 있다.ⓒ데일리안 조인영 기자
SK텔레콤(SKT)은 해킹 사태와 관련해 단말기 고유식별번호(IMEI) 등 민감한 개인정보가 저장된 서버가 악성코드에 감염된 사실이 확인된 가운데, 19일 현재까지 고객정보 유출은 확인되지 않았다고 밝혔다. 아울러 자사의 삼중 보안 체계를 통해 복제 유심과 단말 모두 실제 사용이 어려운 만큼, 피해 가능성도 극히 낮다고 강조했다.
다만 민감정보가 저장된 서버에 장기간 악성코드가 잠복했고, 개인정보가 평문으로 저장된 정황까지 드러나면서 정보보호 체계가 부실했다는 비판에 대해서는 거듭 고개를 숙였다.
SKT는 이날 오후 서울 삼화타워에서 '일일 브리핑'을 열고 SKT 침해사고 민관합동조사단(이하 조사단) 발표에 대한 입장을 항목별로 조목조목 설명했다.
앞서 조사단은 2차 조사에서 SKT 전체 리눅스 서버 3만여 대를 점검한 결과, 총 23대에서 악성코드 25종을 발견했다고 밝혔다.
2차 조사에서 드러난 악성코드는 총 25종(BPFDoor계열 24종 + 웹셸 1종)이다. 악성코드는 1차 공지(4월 25일)에서 4종, 2차 공지(5월 3일)에서 8종이 보고됐고, 이후 추가로 BPFDoor 계열 12종과 웹셸 1종이 발견되면서 총 25종으로 집계됐다.
조사단은 서버의 방화벽 로그 분석 결과, 방화벽 로그가 남아있는 기간(2024년 12월 3일∼2025년 4월 24일)에는 자료유출이 없었던 것으로 확인했다. 하지만 최초 악성코드 설치 시점으로 추정되는 2022년 6월 15일부터 약 2년간은 로그가 남아있지 않아, 이 기간 유출 여부는 파악되지 않고 있다고 했다.
악성 코드와 감염 서버가 늘어난 것에 대해 류정환 SKT 네트워크인프라센터장은 해커 활동에 의한 증적이라고 설명했다. 류 센터장은 "해커가 작정을 하고 어느 정도 침입을 하면 여러가지 활동을 할 것"이라며 "SKT 망에서도 다양한 활동을 하면서 증적을 남겨 감염 서버가 늘어나고 악성 코드도 증가한 것으로 판단한다"고 말했다.
그는 이어 "중요한 것은 서버가 더 이상 피해를 내지 않도록 격리 조치 했다는 것"이라며 "꺼놨다고 봐도 무방하기 때문에 이로 인한 영향은 현재까지 없다"고 덧붙였다.
조사단은 또한 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI 등이 포함되고 있음을 확인했다. 해당 서버의 저장된 파일에는 총 29만1831건의 IMEI가 포함됐다.
이에 대해 류 센터장은 "29만건은 유출된 것이 아니다. FDS(비정상 인증 차단 시스템)를 통해 SKT 망에서 차단하고 있어 안심해도 된다"고 강조했다. 이름, 생년월일 등 개인정보 유출 우려에 대해서도 "아직까지 확인된 바 없으며 센싱 체계를 고도화시켜 나가고 있다"고 설명했다.
센싱 체계에 대해 류 센터장은 통합 보안 관제, EDR(단말 탐지 및 대응 시스템), 방화벽 등 세 가지 통합 보안 관제 시스템을 유지하고 있으며, 수사 기관에 의뢰해 불법 유심, 불법 단말 복제 관련 SKT 피해 기록을 전수 조사했을 때도 정보 유출 여부는 찾지 못했다고 강조했다.
SKT는 IMEI가 노출됐다고 하더라도 복제폰이 실제로 만들어질 가능성은 매우 낮다고 거듭 강조했다.
불법 복제를 위해서는 단말기 제조사와 이동통신사의 이중 인증을 모두 통과해야 하기 때문에, 현실적으로 성립이 어렵다는 설명이다. 류정환 네트워크인프라센터장은 “단말기 제조사 A는 ‘제3자에 의한 복제가 불가능하다’, 제조사 B는 ‘IMEI 불법 복제가 어렵다’고 밝혔다”며, “칩셋 제조사도 ‘상용폰의 IMEI 변경은 불가능하다’고 답했다”고 말했다.
이어 류 센터장은 “설령 단말 복제가 이뤄졌다고 해도, FDS 2.0 시스템을 통해 복제품이 SKT 망에 접속하는 것을 차단한다”고 밝혔다. FDS 1.0이 불법 유심 복제를 막는 시스템이라면, 2.0은 불법 단말 복제까지 차단하는 고도화된 버전이다.
수학적으로 정상 가입자, 정상 유심, 정상 단말기 여부를 뚫으려면 상당히 어렵기 때문에 사고 피해로 이어지기 힘들다고 SKT는 강조했다. 실제로 정상 가입자를 판별하는 경우의 수는 2의 43승 분의 1, 단말기에 꽂힌 유심이 망 인증을 통과할 확률은 10의 38승 분의 1 수준으로, 사실상 뚫기 어렵다는 입장이다.
설사 불법 복제가 이뤄지더라도, SKT는 현존하는 기술로 자사 망 내 접속을 모두 차단할 수 있다고 강조했다.
일부 온라인 커뮤니티를 중심으로 ‘휴대전화를 끄면 30초 안에 정보가 털린다’는 루머가 퍼진 데 대해, SKT는 사실과 다르다고 선을 그었다. 김희섭 PR센터장은 “같은 번호 전화기 2대가 통신망에 접속하지 못한다. 꺼진다고 하더라도 30초 안에 해커가 복제폰을 갖고 들어와 폰이 끊어지는 것도 아니다”라며 “유심 정보와 가입자 인증 등을 종합적으로 검증하기 때문에 그런 방식으로 피해가 발생할 수는 없다”고 설명했다.
"피해 발생 가능성 낮다" 주장 SKT…보안 소홀에는 "사과"
SKT는 피해 발생 가능성이 낮다고 거듭 강조했지만, 애초에 해킹 사고를 막지 못한 점에서 보안 체계 강화에 소홀했다는 비판은 피해가지 못했다.
임시 서버 보안 조치가 잘 취해졌다면 사고를 막을 수 있었던 것 아니냐에 대한 지적에 류 센터장은 "백신이나 암호화를 하는 게 무조건 좋을 수는 없다"면서도 "이번 사고를 계기로 임계치를 다시 보고 확산시켜 나갈 수 있도록 하겠다"고 답했다.
서버에 저장된 개인정보가 평문으로 저장돼있었다는 조사단 발표에는 "암호화를 법적으로 해야하는 것이 있고, 자체로 할 수 있는 것이 있다"면서 "모든 정보를 암호화하면 통신서비스 장애가 있을 수 있다. 이번 사고를 게기로 좀 더 안전하게 하는 방법을 강구하겠다"고 김희섭 PR센터장은 답했다.
IMEI가 저장된 서버는 일시적인 요청 처리를 위한 임시 서버로, 개인정보보호법상 로그 2년 보관 의무가 직접 적용되지는 않는 구조인 점도 도마 위에 올랐다. 류정환 센터장은 "관리자나 개발자의 경우 1년, 2년 보관해야 되지만 일반 사용자에 대한 조항은 없다"면서도 "개선해야 할 점이 있다면 짚고 가도록 하겠다"고 말했다.
조사단이 로그가 남아있지 않은 기간 IMEI 등 정보 유출 여부를 파악하기 어렵다고 밝힌 것과 관련해 류 센터장은 "저희도 그때까지의 로그는 없다"면서도 "우리가 가진 망 운영 데이터, 고객 불만 데이터, 경찰청 데이터를 종합적으로 판단한 결과를 말씀드리기 때문에 (조사단과) 우리 시각과 다를 수 있다"고 밝혔다.
최초 악성코드가 생성된 2022년 6월 이후 3년간 해커 침입을 몰랐다는 비판도 있었다. 류정환 센터장은 "침해를 잡기는 상당히 어렵다"면서도 "해커들은 생성 날짜를 조작하기도 해 날짜 특정은 의문이 있다"고 말했다.
한편 SKT 누적 유심 교체 고객은 219만명이며 잔여 예약 고객은 662만명이다. 유심 재설정 고객은 11만4000명으로 집계됐다.
SKT는 이번 해킹 사고와 관련해 알뜰폰(MVNO) 이용자에 대한 보안 조치도 확대했다. 류정환 네트워크인프라센터장은 “알뜰폰에 대한 FDS 2.0 역시 적용됐다”고 밝혔다.
츌처 : ©(주) 데일리안 무단전재 및 재배포 금지
조인영 기자 (ciy8100@dailian.co.kr)