[보안뉴스 조재호 기자] SK텔레콤 서버에 악성코드 13종이 추가 발견되면서 총 25종의 악성코드가 확인됐다. 모바일 장치 식별번호인 IMEI 유출 가능성도 제기됐다.

SKT 민관합동조사단은 19일 현재까지 총 23대 서버 감염을 확인했고, 악성코드 25종을 확인해 조치하고 있다는 내용의 2차 조사 결과를 발표했다.


[자료: SK텔레콤]

조사단은 지난달 1차 발표에서 공격 정황이 있는 가입자인증시스템(HSS) 서버 5대를 조사, 가입자 전화번호와 가입자 식별번호(IMSI) 등 유심 복제에 악용될 수 있는 정보 4종과 유심 정보 처리 등에 필요한 SKT 관리용 정보 21종 유출을 확인했다.

이 과정에서 침투에 쓰인 BPF 도어 계열 악성코드 12종도 발견됐다. 당시 단말기 고유식별번호(IMEI)는 유출되지 않은 것으로 나타났다. 유출된 정보량은 9.82G이며, 이는 IMSI 기준 2695만7749건에 해당한다.

1차 결과 발표 이후 조사단은 SKT 리눅스 서버 전반을 집중 점검하고, 리눅스 외 다른 서버로도 점검 대상을 확대했다. 이 조사에서 서버 18대 추가 감염이 드러났다. 이에 따라 SKT에서 총 23대의 서버 감염이 확인됐다.


▲SKT 서버 조사 현황 [자료: 과기정통부]

지난달 25일 최초 발표한 4종과 한국인터넷진흥원(KISA) 2차 공지에서 안내된 8종의 변종 외에도 BPF도어 계열 12종과 웹셀 1종의 악성 코드를 추가로 확인했다. 현재까지 SKT 서버에서 발견된 악성 코드는 총 25종이다.

또 2차 조사 과정에서 악성 코드에 감염된 서버 내 임시로 저장되는 파일 중 단말기 식별번호(IMEI)가 포함된 사실이 확인됐다. 유출 가능성이 있는 IMEI는 총 29만1831건이다. 다만, 방화벽 로그를 확인할 수 있는 기간엔 자료 유출이 없었다.

조사단은 “앞으로 침해사고 조사 과정에서 국민들에게 피해가 발생할 만한 정황이 발견될 경우 이를 투명하게 공개할 것”이라며 “사업자의 신속 대응과 정부 차원의 대응책도 강구할 계획”이라고 밝혔다.

한편, 과학기술정보통신부는 타 통신사와 주요 플랫폼 기업을 대상으로 유사 사고가 발생할 가능성에 대비해 현 보안 상황을 점검하고, 철저한 대응을 당부한 바 있다. 정부 기관도 국정원 주관의 점검을 진행하고 있다. 현재까지 민간과 공공 분야에서 신고된 피해 사례는 없다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>