SK텔레콤의 사이버 침해 사고와 관련해 단말기 고유식별번호(IMEI)와 가입자 개인정보가 저장된 서버까지 공격받은 정황이 추가로 드러나면서 제주에서도 정보 유출에 따른 2차 피해 우려가 커지고 있다.

제주도는 이번 해킹이 전국 가입자를 대상으로 이뤄진 만큼 도내 SKT 이용자의 정보 유출 가능성도 배제할 수 없다며 사태를 예의주시 중이라고 19일 밝혔다.

도는 관계기관과 연계해 통신 기반시설 보안 점검을 강화하고, 피해 발생 시 신속한 대응 체계를 마련할 방침이다.

민관합동조사단은 이날 2차 중간조사 결과를 발표했다. 기존에 발견된 악성코드 4종 외에 추가로 21종의 악성코드와 18대의 감염 서버를 확인했다. 특히 추가로 감염된 서버에는 IMEI와 함께 이름, 생년월일, 전화번호, 이메일 등 가입자 개인정보가 포함돼 있는 것으로 확인됐다. 다만 통화기록은 유출되지 않은 것으로 파악됐다.

문제는 해킹이 시작된 시점인 2022년 6월 15일부터 2023년 12월 2일까지는 로그 기록이 남아있지 않아 해당 기간 IMEI 유출 여부를 확인할 수 없다는 점이다. 전문가들은 IMEI가 유출될 경우 '심스와핑'(유심 복제 사기) 등의 2차 피해 가능성이 높아질 수 있다고 경고했다.

제주도내 한 통신업계 관계자는 "도내에도 SK텔레콤 이용자가 많은 만큼 유사한 피해 발생 시 대응책 마련이 시급하다"며 "정부 발표 내용을 면밀히 모니터링하고 상황에 맞는 조치를 검토해야 한다"고 말했다.

다만 조사단과 정부는 IMEI가 유출됐더라도 스마트폰 복제 가능성은 현실적으로 낮다며 과도한 불안은 경계해야 한다는 입장이다.

류제명 과학기술정보통신부 네트워크정책실장은 "복제폰은 물리적으로 불가능하며 설령 만들어진다 해도 네트워크 접속 자체가 차단된다"고 설명했다.

SK텔레콤은 현재 비정상 인증을 탐지하는 이상거래탐지시스템(FDS) 고도화 작업에 나선 상태다. 조사단은 추가로 확인된 웹셸(Web Shell) 악성코드는 해커가 내부 서버와 통신하기 위해 설치한 것으로 기존 BPFDoor 계열 공격 수법과 관련된 것이라고 밝혔다.

일각에서는 이번 해킹의 목적이 단순한 개인정보 유출을 넘어설 가능성도 제기되고 있다.

임종인 고려대 정보보호대학원 교수는 "국가 기반시설에 악성코드를 은닉해뒀다가 유사시 이를 작동시키려는 시도일 가능성도 배제할 수 없다"고 지적했다.

실제로 도내 다수 공공기관에서 사용하는 업무용 휴대전화와 인터넷 통신 장비에도 유심(USIM)이 장착돼 있다. 이들 장비에서 수집되는 각종 로그와 정보가 서버에 저장되는 구조인 것으로 알려졌다. 이런 문제로 민감한 정보의 유출 또는 외부 제어 가능성에 대한 우려가 제기되고 있다.

이에 따라 도는 이번 사고를 계기로 도내 주요 통신 인프라와 공공기관의 사이버 보안 대응 체계를 전면 점검하고, 관계 기관과의 협력을 통해 보안 취약 지점에 대한 사전 대응을 강화할 계획이다. [제이누리=김영호 기자]