과학기술정보통신부는 SK텔레콤 침해사고 1차 조사 결과, 가입자 전화번호와 가입자식별키(IMSI) 등 유심(USIM) 정보는 유출됐지만, 단말기 고유식별번호(IMEI)는 유출되지 않았다고 밝혔다.

29일 과기 정통부는 SK텔레콤 침해 사고와 관련해 구성한  민관합동조사단이 1주일 간 조사한 결과를 1차 발표했다.

조사단은 이번 침해사고를 통해 단말기 고유식별번호(IMEI)가 유출되지 않았음을 확인했다. 이에 따라, SK텔레콤이 시행 중인 유심보호서비스에 가입할 경우, 이번에 유출된 정보만으로는 유심 복제를 통한 불법 행위가 차단될 수 있음을 검증했다.

유심보호서비스는 고객이 사용하던 기기가 아닌 다른 기기에서 고객 명의로 통신서비스에 접속하려 할 경우 이를 사전에 차단하는 서비스다.  또한 SK텔레콤은 비정상 인증 시도 차단(FDS) 시스템을 통해, 유심을 불법 복제해 SK텔레콤 망에 접속하려는 시도를 사전에 탐지·차단할 수 있는 것으로 확인됐다. 

조사단은 SK텔레콤이 공격을 받은 것으로 추정되는 3종, 5대의 서버를 조사했으며, 중요정보가 포함된 기타 서버들에 대해서도 조사를 확대하고 있다. 현재까지 확인된 유출 정보는 가입자 전화번호, 가입자식별키(IMSI) 등 유심 복제에 활용될 수 있는 4종과, 유심 정보 처리에 필요한 SK텔레콤 관리용 정보 21종이다.

또한, 조사 과정에서 침투에 사용된 BPFDoor 계열 악성코드 4종이 발견됐다. BPFDoor는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링 및 필터 기능(Berkeley Packet Filter, BPF)을 악용한 백도어(Backdoor)다.

BPFDoor 악성코드는 리눅스 커널의 저수준 네트워크 기능을 조작하는 고도의 기술력이 필요한 고급 해킹 도구로 평가받고 있다. 일반 해커가 접근하기 어려운 은닉성과 지속성 메커니즘을 갖추고 있어, 대부분 국가 지원 해킹 그룹(APT)의 소행으로 추정된다. 시스템 내부 구조와 권한 상승 취약점에 대한 깊은 이해가 필요하다는 점에서, 사이버 보안 전문가들은 이를 최상위 난이도의 위협으로 분류하고 있다.

과기정통부는 피해 확산을 방지하기 위해 4월 25일 민간 기업 및 기관 등에 관련 정보를 공유했다.

IMEI가 유출 되지 않은 것으로 확인되며 유심 복제를 통한 심 스와핑(SIM swapping) 우려는 다소 덜었다. 심 스와핑은 해커가 유심 정보를 복제해 다른 기기에서 피해자처럼 통신 서비스를 사용하는 해킹 방식을 뜻한다.

그러나 가입자 식별키(IMSI)와 전화번호 등 유심 관련 정보가 유출되면서, 악성 링크를 담은 문자로 개인정보나 금전을 탈취하는 스미싱(Smishing) 피해 우려가 여전히 크다. 또한, 유출된 IMSI를 활용해 특정 사용자의 통신을 감청하거나 위치를 추적하는 '가짜 기지국(IMSI Catcher)' 수법에 악용될 가능성도 배제할 수 없다.