"SKT 고객정보, 싱가포르 거쳐 유출"

다만 '북한 소행설' '중국 연루설' 등 사태의 배후와 관련된 시장의 각종 낭설에 대해선 "수사기관의 고유 조사 업무"라며 말을 아꼈다.

이와 관련해 사안을 들여다보고 있는 과학기술정보통신부 등 민관합동조사단도 이날 "현재까지 해킹의 주체 등은 확인된 바 없다"며 조심스러운 입장을 전했다.

고학수 개인정보위 위원장은 이날 서울 중구 명동 은행회관에서 열린 '개인정보 정책포럼' 중 기자단과의 브리핑에서 SK텔레콤 개인정보 유출 등에 대한 중간조사 결과를 일부 공유했다.

이 자리에서 고 위원장은 "해킹 사건은 정확한 원인 규명과 범인 배후를 확인하기 어려운 게 훨씬 더 많다"면서 "SK텔레콤의 국내 가입자인증시스템(HSS)에 있던 가입자 데이터가 과금정보 관리 서버(WCDR)를 거쳐 싱가포르 인터넷주소(IP)로 넘어간 흔적이 있었다.

해당 싱가포르 인터넷주소가 누구에 의해 통제되는지에 대해선 파악이 쉽지 않은 상태"라고 말했다.

그러면서 "국제 공조도 필요한 상황이며 (최종 조사 발표 때까지는) 시간이 더 걸릴 것"이라고 덧붙였다.

최근 조사단은 2차 조사 결과 발표에서 SK텔레콤 서버에 악성코드가 최초 설치된 시점이 2022년 6월로, 회사가 정보 유출 사실을 안 지난달까지 약 3년간 이러한 정황을 알아차리지 못했다고 밝혔다.

또 조사 과정에서 총 23대의 서버에서 악성코드 25종이 발견됐다고 조사단은 전했다.

현재까지 조사단이 확인한 악성코드는 웹셸 1종을 제외하면 모두 'BPF 도어' 계열로, 중국과 연계된 지능형 지속 공격(APT) 해커 집단이 주로 쓰는 수법으로 알려져 있다.

조사단 결과에 따르면 유출된 유심 정보의 규모는 9.82기가바이트(GB)로, 가입자식별번호(IMSI) 기준 2695만7749건에 달한다.

알뜰폰을 포함한 전체 SK텔레콤 고객 2500만명의 정보가 털렸다는 얘기다.

또 유출 가능성이 있는 단말기식별번호(IMEI) 정보는 29만1831건이다.

한편 이날 개인정보위는 이번 사태와 관련해 악성코드가 감염된 이 회사 통합고객시스템(ICAS) 서버에 이용자를 식별할 수 있는 다량의 개인정보가 포함돼 있고, 유출 가능성이 높다는 진단을 내놨다.

고 위원장은 "아직 조사가 마무리되지 않아 구체적으로 언급하기는 어렵지만, 민감한 정보를 담고 있는 서버가 악성코드에 감염됐다는 것 자체만으로도 매우 불안한 상황임은 분명하다"고 말했다.

최근 개인정보위는 SK텔레콤에서 기존 유출 경로로 확인된 HSS 등 5대 외에도 ICAS 서버 2대를 포함해 서버 총 18대가 악성코드에 추가 감염됐다고 밝힌 바 있다.

ICAS는 T월드 등 사내 서비스 및 사전 인가된 협력사 대상 SK텔레콤 가입자의 가입 상태, 정보 및 가입 상품 조회용 API를 제공하는 시스템이다.

해당 서버에는 이름, 생년월일, 성별, 휴대전화번호, 이메일, 주소, IMEI, IMSI 등 고객의 중요 개인정보를 포함해 총 238개 정보(칼럼값 기준)가 저장돼 있다.

다만 유출 여부가 확인되지 않은 ICAS 관련 분석 결과를 놓고 향후 개인정보위와 SK텔레콤 간 다툼이 발생할 가능성이 높다.

앞서 정부 조사단 2차 발표에 따르면 방화벽에 로그 기록이 남아 있는 지난해 12월 3일부터 지난달 24일까지 자료 유출이 없었다는 점이 확인됐지만, 최초 악성코드가 설치된 2022년 6월 15일부터 지난해 12월 2일까지는 로그 기록이 남아 있지 않아 유출 여부 확인이 어려운 상태다.

이와 관련해 고 위원장은 "개인정보위가 보는 정황으로는 SK텔레콤 해킹은 역대급 사건으로 기록될 것"이라며 "그에 맞춰 상당한 경각심을 갖고 심각하게 이 사안을 바라보고 있다"고 강조했다.

[고민서 기자]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]