과학기술정보통신부는 SK텔레콤 침해사고 민관합동조사단 조사 결과, 유심정보 2,696만건이 유출됐으며 SK텔레콤의 계정정보 관리 부실 등 과실이 확인돼 이용약관상 위약금 면제 규정이 적용된다고 4일 발표했다.
과학기술정보통신부는 SK텔레콤 침해사고 민관합동조사단 조사 결과, 유심정보 2,696만건이 유출됐으며 SK텔레콤의 계정정보 관리 부실 등 과실이 확인돼 이용약관상 위약금 면제 규정이 적용된다고 4일 발표했다.
과기정통부는 이날 SK텔레콤 침해사고에 대한 민관합동조사단의 최종 조사결과를 발표하며, 감염서버 총 28대에서 BPFDoor 27종을 포함한 악성코드 33종을 확인했다고 밝혔다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종으로 총 9.82기가바이트(GB), 가입자 식별번호 기준 약 2,696만건에 달한다.
과기정통부는 이날 SK텔레콤 침해사고에 대한 민관합동조사단의 최종 조사결과를 발표하며, 감염서버 총 28대에서 BPFDoor 27종을 포함한 악성코드 33종을 확인했다고 밝혔다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종으로 총 9.82기가바이트(GB), 가입자 식별번호 기준 약 2,696만건에 달한다.
조사단은 이번 침해사고가 국내 1위 이동통신사의 침해사고이고 유심정보 유출로 인한 국민 우려가 크다는 점을 고려해 SK텔레콤 전체 서버 42,605대를 대상으로 강도 높은 조사를 시행했다. 감염서버에 대해서는 디지털 증거수집(포렌식) 등 정밀분석을 통해 정보유출 피해발생 여부를 파악했다.
사고 원인 분석 결과, 공격자는 2021년 8월 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버에 접속해 악성코드를 설치한 후 단계적으로 침투 범위를 확대했다. 당시 해당 서버에는 시스템 관리망 내 서버들의 계정 정보가 평문으로 저장되어 있었으며, 공격자는 이를 활용해 다른 서버들에 접속했다.
사고 원인 분석 결과, 공격자는 2021년 8월 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버에 접속해 악성코드를 설치한 후 단계적으로 침투 범위를 확대했다.
특히 공격자는 2021년 12월 음성통화인증(HSS) 관리서버에 접속해 BPFDoor 악성코드를 설치했으며, 2025년 4월 18일 음성통화인증 3개 서버에 저장된 유심정보를 외부로 유출했다. SK텔레콤은 평소 대비 대용량 데이터가 외부로 전송된 정황을 4월 18일 23시 20분 인지하고, 4월 20일 16시 46분 한국인터넷진흥원에 침해사고를 신고했다.
조사단은 SK텔레콤의 정보보호 체계에서 계정정보 관리 부실, 과거 침해사고 대응 미흡, 주요 정보 암호화 조치 미흡 등 3가지 주요 문제점을 발견했다. SK텔레콤은 서버 로그인 ID, 비밀번호를 안전하게 관리해야 하나 계정정보를 다른 서버에 평문으로 저장했으며, 공격자가 이를 활용해 서버를 감염시켰다.
또한 SK텔레콤은 2022년 2월 악성코드에 감염된 서버를 발견했으나 정보통신망법에 따른 신고 의무를 이행하지 않았다. 당시 점검 과정에서 이번 침해사고에서 감염이 확인된 음성통화인증 관리서버의 비정상 로그인 시도 정황도 발견했으나 로그기록 6개 중 1개만 확인해 공격자의 서버 접속 기록을 놓쳤다.
유출 정보 중 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값의 경우, 세계이동통신사업자협회(GSMA)가 암호화를 권고하고 있으며 타 통신사들(KT, LGU+)도 암호화하여 저장하고 있으나 SK텔레콤은 암호화하지 않고 저장했다.
정보통신망법 위반사항으로는 침해사고 신고 지연 및 미신고, 자료보전 명령 위반 등이 확인됐다. SK텔레콤은 침해사고를 인지한 후 24시간이 지난 후 신고했으며, 악성코드에 감염된 서버를 발견하고도 침해사고 신고를 하지 않았다. 또한 과기정통부의 자료보전 명령에도 불구하고 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치했다.
정보보호 관리 체계 미흡도 문제점으로 지적됐다. SK텔레콤은 보안 업무를 정보기술 영역과 네트워크 영역으로 구분하고 정보보호최고책임자(CISO)는 정보통신 영역만 담당하고 있어 전사 정보보호 정책을 총괄하지 못했다. 2024년 정보보호 공시 기준 SK텔레콤의 가입자 100만명당 정보보호 인력은 15명, 투자액은 37.9억원으로 통신사 평균 대비 그 규모가 작았다.
과기정통부는 이번 침해사고에 대한 SK텔레콤의 이용약관상 위약금 면제 규정 적용 여부도 검토한 결과, 적용이 가능하다고 판단했다. 조사결과 SK텔레콤의 과실이 확인되고 안전한 통신서비스 제공이라는 계약상 주된 의무를 위반했다는 것이 이유다.
유심정보 유출은 제3자가 유심 복제를 통해 이용자의 전화번호로 통신서비스를 이용하거나 이용자에게 걸려온 전화·문자를 가로챌 수 있는 위험한 상황을 초래할 수 있어 안전한 통신서비스 제공 의무 위반에 해당한다고 정부는 판단했다.
과기정통부는 SK텔레콤에 재발방지 대책에 따른 이행계획을 7월 중 제출하도록 하고 8∼10월 이행 여부를 점검할 예정이다. 이행점검 결과 보완이 필요한 사항이 발생하면 정보통신망법에 따라 시정조치를 명령할 계획이다.
유상임 과기정통부 장관은 "이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 기반 전반의 정보보호에 경종을 울리는 사고였다"며 "SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것"이라고 말했다.
최용대
기자
헤드라인 뉴스
-
삼성전자 ‘더 프리미어 5’ 활용해 레고 브릭 조립하는 이색 체험 공간 선보여
삼성전자가 12월 31일까지 ‘더 프리미어 5’를 활용해 레고 브릭을 조립할 수 있는 이색 체험 공간을 글로벌 완구 브랜드 레고코리아와 손잡고 선보인다.삼성전자가 레고코리아와 협업해 ‘더 프리미어 5’ 체험 공간을 전국 레고스토어 6개 지점에 마련했다방문객들은 터치 스크린을 탑재한 프로젝터 ‘더 프리미어
-
NHN KCP, 수원시 일본 수출상담회서 글로벌 무역대금 결제 상담 지원
종합결제기업 NHN KCP는 지난 3일 ‘2025 수원특례시 일본 바이어 방한 수출 상담회’에서 국내 중소제조기업을 대상으로 일본 수출 및 결제 지원 상담을 진행했다고 7일 밝혔다.지난 3일 수원시청 별관 중회의실에서 ‘2025 수원특례시 일본 바이어 방한 수출 상담회’가 진행되고 있다수원시청이 주최하고 대한무역투
-
한국민속촌, 여름 콘텐츠 본격 가동… 도심 속에서 하루 종일 즐기는 여름 피서 완결
한국민속촌이 다가오는 여름방학과 휴가 시즌을 맞아 기존 겨울철 눈썰매장 부지를 자연 친화형 워터존으로 재탄생시킨 ‘숲속 물놀이장’을 개장한다. 특히 이번 우천 특별 팝업 콘텐츠로 진행되는 ‘파전 막걸리 페스티벌(이하 파.막.페)’도 운영해 다양한 여름 콘텐츠와 먹거리가 어우러진 테마파크형 피서지로 거듭날 예정이다.
-
환경재단 ‘대학생 천연기념물지킴이단’ 13기, 하계캠프 통해 본격 활동 돌입
환경재단(이사장 최열)은 7월 2일부터 4일까지 2박 3일간 ‘대학생 천연기념물지킴이단’ 13기 하계캠프를 성공적으로 개최했다고 밝혔다.환경재단 ‘대학생 천연기념물지킴이단’ 13기 하계캠프 단체사진(제공=환경재단)이번 캠프는 환경재단이 주최하고 에쓰오일과 국가유산청이 후원하는 ‘대학생 천연기념물지킴이단&
-
인천시, 7월 5일 '제43회 대한민국연극제 인천' 개막식 성료
인천광역시(시장 유정복)는 지난 7월 5일 상상플랫폼에서 인천시와 ㈔한국연극협회가 공동 주최하는 '제43회 대한민국연극제 인천'의 개막식을 시작으로, 7월 27일까지 23일간의 본격적인 연극 축제에 돌입했다고 밝혔다.인천광역시(시장 유정복)는 지난 7월 5일 상상플랫폼에서 인천시와 ㈔한국연극협회가 공동 주최하는 '제43회 대한민국연극제 인천'의 개막식을 시
-
2025 대구치맥페스티벌, 성황리에 폐막
'치맥 센세이션(CHIMAC SENSATION)'을 슬로건으로 내건 '2025 대구치맥페스티벌'이 지난 7월 2일(수)부터 7월 6일(일)까지 5일간 두류공원 일원에서 열려 성황리에 막을 내렸다.2025 대구치맥페스티벌, 성황리에 폐막평균 기온 36℃의 폭염에도 불구하고 100만 명이 넘는 관람객이 축제를 찾는 등 대구치맥페스티벌은 명실상부한 대한민국 대표
-
양천구, 돌봄기능까지 갖춘 공공 실내놀이터 '신정4동'에도 문연다
양천구(구청장 이기재)는 아이들이 계절·미세먼지 등 외부환경의 제약 없이 생활권 내에서 안심하고 뛰어놀 수 있는 실내놀이터 '서울형 키즈카페 신정4동점'을 8일 개관한다고 밝혔다.양천구, 돌봄기능까지 갖춘 공공 실내놀이터 '신정4동'에도 문연다'서울형 키즈카페'는 저렴한 이용료로 양육자의 부담은 낮추고, 연령별 신체발달 수준을 고려한 재미있고
-
금천구, 매주 '동네방네 방역데이' 운영…여름 해충 집중 대응
금천구(구청장 유성훈)는 본격적인 여름철을 맞아 모기 등 해충으로 인한 주민 불편을 줄이고, 감염병을 예방하기 위해 민·관이 함께 방역을 실시한다고 밝혔다.금천구(구청장 유성훈)는 본격적인 여름철을 맞아 모기 등 해충으로 인한 주민 불편을 줄이고, 감염병을 예방하기 위해 민·관이 함께 방역을 실시한다고 밝혔다.구는 7월 한 달간 매
-
서초교향악단, 독일 베를린·영국 런던서 광복 80주년-한국전쟁 75주년 공연 펼쳐
서울 서초구(구청장 전성수)의 서초교향악단이 광복 80주년-한국전쟁 75주년을 맞아 독일 베를린과 영국 런던에서 유럽 순회공연을 개최하고 세계적인 무대에서 대한민국과 문화예술도시 서초의 위상을 빛냈다.서초교향악단, 독일 베를린·영국 런던서 광복 80주년-한국전쟁 75주년 공연 펼쳐서초교향악단은 7월 2일(화) 독일 베를린의 라디오방송국 홀(Fu
-
“주민이 아프다, 환경도 아프다”…산업폐기물 문제, 국정과제 반영 촉구
전국 각지 산업폐기물 현안지역 주민들과 환경단체들이 7일 서울 국정기획위원회 앞에서 기자회견을 열고, “정의로운 산업폐기물 정책 전환”을 요구하며 이재명 대통령의 대선공약을 국정과제에 반영할 것을 촉구했다.전국 각지 산업폐기물 현안지역 주민들과 환경단체들이 7일 서울 국정기획위원회 앞에서 기자회견을 열고, “정의로운 산업폐기
