SK텔레콤 침해사고 민관합동조사단이 19일 2차 조사결과를 발표하며 “IMEI 15자리가 노출됐어도 복제폰을 만드는 것은 불가능하다고” 강조했다.

SKT 측도 부정 가입 접속 방지 시스템(FDS) 고도화를 통해 복제폰 피해 방지를 강화했다고 설명했다.

조사단은 이날 “현재까지 감염서버 총 23대, 악성코드 총 25종을 확인했다”며 브리핑을 통해 2차 조사결과를 발표했다.



다음은 과학기술정보통신부와 SKT 브리핑 일문일답 요지.

[과학기술정보통신부]

Q. IMEI만으로는 복제폰을 만들기 어렵다고 하셨으나, 다른 정보들과 결합 시 가능할 것이라는 우려가 있다.

A. 제조사, 사업자의 판단은 IMEI 15자리만으로 복제폰을 만드는 건 물리적으로 불가능하다. 설령 만들어졌다 해도 사업자가 부정 가입 접속 방지 시스팀(FDS) 고도화를 통해 네트워크에 접속하는 것 자체를 차단시킨다. 국민들께서 과도하게 불안해하지 않으셨으면 좋겠다.

Q. 2022년 6월 15일이 악성코드가 설치된 시점이라 보시는 근거는?

A. 포렌식을 하면서 악성코드가 설치된 날짜를 전문가들이 분석하고, 이 데이터를 조사단이 두 차례에 걸쳐 심도있게 검토해 확정했다. 전문가들을 믿어달라.

Q. 로그 기록이 남지 않은 부분은 확인되지 않았으므로 유출 가능성이 있다는 지적이 있다는 데 어떻게 대응할 것인가?

A. 로그가 남은 부분은 유출안된 것이 분명하다. 그 이전의 기간에 대해서는 자료가 없기 때문에 어떤 추정도 어렵다. 대신 저희가 수사 상황이나 다크웹 같은 데를 모니터링하고 있는데 여기서 아직 확인된 바 없다. 기술적으로는 로그가 없으면 판단하기가 굉장히 어렵지만 여러 시나리오 기반으로 검토 중이다.

Q. 개인정보보호법에 따르면 로그 기록은 2년간 보관하게 돼 있는데 기록 없는 이유는 해커 탈취였을까? 3년 가까이 유출됐음에도 피해사례 없었다면 북한 해커 집단의 과시용 해킹으로 볼 여지는?

A. 개인정보보호법에 따라 보관해야 되는 것은 개인 정보를 저장·처리하는 법적으로 정해진 시스템이 있다. 지금 저희가 이제 임시 저장돼 있다고 말씀드린 서버는 그런 목적으로 쓰인 게 아니라 데이터베이스에서 요청을 받아서 처리하는 목적이었다 보니 그런 룰이 적용이 안 돼 있었다. 해커가 지운 것이라면 방화벽에 흔적이 남을텐데 그런 것은 확인되지 않고 있다. 해커가 누구인지 부분은 수사가 진행되는 부분이기 때문에 추후에 결과를 봐야알 것이다.

[SKT]
Q. 웹셸 자체가 유심 서버에 대한 보안조치 미비 아닌가?

A. 번사고에서 미흡한 점을 보고 있다. 통신망에서는 백신이나 암호화가 성능저하 이슈가 있고 투자를 하더라도 임계치가 있다. 임계치를 다시한번 살피고 확산 막겠다. 아쉬움 점에 대해서는 전체적으로 다시 짚고 있다.

Q. 2022년 6월부터 약 3년의 기간동안 왜 침해 사실 몰랐나.

A. 지금 29만건은 이 안에서 발견된 것이므로 유출과 상관없다. 유출이 됐다면 양이 커서 잡힌다. 침해는 잡기가 어렵다. 지능형 지속 공격(APT)나 해커는 날짜를 조작하므로 최초 날짜인지도 의심된다.

Q. 유출 확인이 안됐을뿐, 최악의 가정으로 움직여야 하는 것 아닌가, 어떻게 대응할 것인가?

A. FDS도 고도화 했으며 복제폰 만들기가 불가능 하다는 것을 제조사에서도 확인을 받았다. 안전하게 봐주시면 좋겠다.

Q. 200만 알뜰폰 소비자도 FDS 2.0 적용됐는지?

A. 알뜰폰은 아직 적용 전이며 조만간 적용할 계획이다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>