[비즈니스포스트] SK텔레콤 서버에서 확인된 악성코드가 33종까지 늘어났고, 2600만 여 건 이상의 가입자 식별키도 유출된 것으로 파악됐다.

SK텔레콤 침해사고 민관합동조사단은 4일 정부서울청사에서 최종 조사결과를 발표하면서 SK텔레콤 서버 28대에서 악성코드 33종을 확인했다고 밝혔다.

지난 4월29일 1차 조사결과에서는 서버 5대에서 악성코드 4종이 발견됐고, 이어 5월3일에는 추가로 악성코드 8종을 확인했다. 5월19일 2차 조사결과에서는 서버 23대에서 모두 25종의 악성코드를 발견했다고 밝혔다.

앞서 비즈니스포스트는 악성코드가 추가로 발견됐다는 사실을 두 차례에 걸쳐 보도한 바 있다.
'[단독] SK텔레콤 서버에서 악성코드 25종 추가 발견, 개인정보 유출 '심각' 상황 우려'(5월16일자)
'[단독] 'SK텔레콤 해킹' 합동조사단 악성코드 7종 추가 발견, 통신사·플랫폼사에 "26일까지 감염 점검" 요청'(6월20일자)

조사단은 유출된 유심정보 규모가 9.82GB이며, 가입자식별번호(IMSI) 기준 약 2696만 건이라고 밝혔다. 음성통화인증서버(HSS) 3대에서 전화번호, 가입자식별번호(IMSI), 인증키 값 등 25종이 유출됐다.

일부 감염서버에 단말기식별번호(IMEI), 통신기록(CDR) 등 중요 정보가 암호화되지 않은 평문으로 임시 저장됐던 것으로 파악됐으나 로그 기록이 남아있는 2024년 12월부터 2025년 4월까지는 유출 정황이 없는 것으로 확인됐다.

다만 로그 기록이 남아있지 않은 기간(IMEI: 2022년 6월15일부터 2024년 12월2일, CDR: 2023년 1월31일부터 2024년 12월8일)은 유출 여부를 확인되지 않았다고 밝혔다.

악성코드는 2021년 8월 처음으로 설치됐던 것으로 조사됐다. 이는 당초 2차 조사 발표 때 2022년 6월 악성코드가 설치됐다고 밝혔던 시기보다 빨라진 것이다.

해커는 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버에 접속한 이후 다른 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드를 2021년 8월6일 설치했다.

이후 시스템 관리망 내 서버에 평문으로 저장된 계정정보를 활용해 코어망 내 HSS 관리서버에 2021년 12월24일 접속해 HSS 관리서버 및 HSS에 악성코드를 설치했다.

해커는 시스템 관리망을 통해서도 고객 관리망 내 고객 인증 연계 서버에 접속해 악성코드를 추가로 설치했고, 초기 침투 과정에서 확보한 계정 정보를 활용해 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치했다. 조승리 기자