조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 디지털 증거 수집(포렌식) 분석 결과, BPFDoor 27종을 포함한 악성코드 33종을 확인했다고 밝혔다.
유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심 정보 25종이며 유출 규모는 9.82기가 바이트(GB), 가입자 식별번호 기준으로는 약 2696만 건이었다.
조사단은 악성코드가 감염된 경위 및 침해사고 대처 등과 관련해 SK텔레콤이 △계정 정보 관리 부실 △과거 침해사고 대응 미흡 △주요 정보 암호화 조치 미흡 등 3가지 문제를 일으켰다고 지적했다.
조사단은 “SK텔레콤은 서버 로그인 ID, 비밀번호를 안전하게 관리해야 하나 이번 침해사고에서 감염이 확인된 음성통화인증 관리 서버 계정 정보를 타 서버에 평문으로 저장했다”며 “공격자가 동 계정 정보를 활용해 음성통화인증 관리 서버 및 음성통화인증을 감염시킨 것”이라고 설명했다.
이어 “SK텔레콤은 2022년 2월 23일 특정 서버에서 비정상 재부팅이 발생함에 따라 해당 서버 및 연계된 서버들을 점검하는 과정에서 악성코드에 감염된 서버를 발견하여 조치했으나, 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따른 신고 의무를 이행하지 않았다”고 지적했다.
이와 함께 “유출 정보 중 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값 암호화를 세계이동통신사업자협회(GSMA)는 권고하고 있다”며 “타 통신사들(KT, LGU+)도 암호화하여 저장하고 있으나, SK텔레콤은 암호화하지 않고 저장했다”고 부연했다.
결과적으로 과기정통부는 △이번 침해사고에서 SK텔레콤의 과실이 발견된 점 △SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 이번 침해사고는 SK텔레콤 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책 사유에 해당한다고 판단했다.
다만 과기정통부는 해당 판단이 SK텔레콤 약관과 이번 침해사고에 한정되며, 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적인 해석이 아니라고 전했다.
박찬웅 기자 rooney@ilyo.co.kr
