과학기술정보통신부는 SK텔레콤 침해사고 민관합동조사단 조사 결과, 유심정보 2,696만건이 유출됐으며 SK텔레콤의 계정정보 관리 부실 등 과실이 확인돼 이용약관상 위약금 면제 규정이 적용된다고 4일 발표했다.

과학기술정보통신부는 SK텔레콤 침해사고 민관합동조사단 조사 결과, 유심정보 2,696만건이 유출됐으며 SK텔레콤의 계정정보 관리 부실 등 과실이 확인돼 이용약관상 위약금 면제 규정이 적용된다고 4일 발표했다.

과기정통부는 이날 SK텔레콤 침해사고에 대한 민관합동조사단의 최종 조사결과를 발표하며, 감염서버 총 28대에서 BPFDoor 27종을 포함한 악성코드 33종을 확인했다고 밝혔다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종으로 총 9.82기가바이트(GB), 가입자 식별번호 기준 약 2,696만건에 달한다.

과기정통부는 이날 SK텔레콤 침해사고에 대한 민관합동조사단의 최종 조사결과를 발표하며, 감염서버 총 28대에서 BPFDoor 27종을 포함한 악성코드 33종을 확인했다고 밝혔다. 유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종으로 총 9.82기가바이트(GB), 가입자 식별번호 기준 약 2,696만건에 달한다.

조사단은 이번 침해사고가 국내 1위 이동통신사의 침해사고이고 유심정보 유출로 인한 국민 우려가 크다는 점을 고려해 SK텔레콤 전체 서버 42,605대를 대상으로 강도 높은 조사를 시행했다. 감염서버에 대해서는 디지털 증거수집(포렌식) 등 정밀분석을 통해 정보유출 피해발생 여부를 파악했다.

사고 원인 분석 결과, 공격자는 2021년 8월 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버에 접속해 악성코드를 설치한 후 단계적으로 침투 범위를 확대했다. 당시 해당 서버에는 시스템 관리망 내 서버들의 계정 정보가 평문으로 저장되어 있었으며, 공격자는 이를 활용해 다른 서버들에 접속했다.

사고 원인 분석 결과, 공격자는 2021년 8월 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버에 접속해 악성코드를 설치한 후 단계적으로 침투 범위를 확대했다.

특히 공격자는 2021년 12월 음성통화인증(HSS) 관리서버에 접속해 BPFDoor 악성코드를 설치했으며, 2025년 4월 18일 음성통화인증 3개 서버에 저장된 유심정보를 외부로 유출했다. SK텔레콤은 평소 대비 대용량 데이터가 외부로 전송된 정황을 4월 18일 23시 20분 인지하고, 4월 20일 16시 46분 한국인터넷진흥원에 침해사고를 신고했다.

조사단은 SK텔레콤의 정보보호 체계에서 계정정보 관리 부실, 과거 침해사고 대응 미흡, 주요 정보 암호화 조치 미흡 등 3가지 주요 문제점을 발견했다. SK텔레콤은 서버 로그인 ID, 비밀번호를 안전하게 관리해야 하나 계정정보를 다른 서버에 평문으로 저장했으며, 공격자가 이를 활용해 서버를 감염시켰다.

또한 SK텔레콤은 2022년 2월 악성코드에 감염된 서버를 발견했으나 정보통신망법에 따른 신고 의무를 이행하지 않았다. 당시 점검 과정에서 이번 침해사고에서 감염이 확인된 음성통화인증 관리서버의 비정상 로그인 시도 정황도 발견했으나 로그기록 6개 중 1개만 확인해 공격자의 서버 접속 기록을 놓쳤다.

유출 정보 중 유심 복제에 활용될 수 있는 중요한 정보인 유심 인증키(Ki) 값의 경우, 세계이동통신사업자협회(GSMA)가 암호화를 권고하고 있으며 타 통신사들(KT, LGU+)도 암호화하여 저장하고 있으나 SK텔레콤은 암호화하지 않고 저장했다.

정보통신망법 위반사항으로는 침해사고 신고 지연 및 미신고, 자료보전 명령 위반 등이 확인됐다. SK텔레콤은 침해사고를 인지한 후 24시간이 지난 후 신고했으며, 악성코드에 감염된 서버를 발견하고도 침해사고 신고를 하지 않았다. 또한 과기정통부의 자료보전 명령에도 불구하고 서버 2대를 포렌식 분석이 불가능한 상태로 임의 조치했다.

정보보호 관리 체계 미흡도 문제점으로 지적됐다. SK텔레콤은 보안 업무를 정보기술 영역과 네트워크 영역으로 구분하고 정보보호최고책임자(CISO)는 정보통신 영역만 담당하고 있어 전사 정보보호 정책을 총괄하지 못했다. 2024년 정보보호 공시 기준 SK텔레콤의 가입자 100만명당 정보보호 인력은 15명, 투자액은 37.9억원으로 통신사 평균 대비 그 규모가 작았다.

과기정통부는 이번 침해사고에 대한 SK텔레콤의 이용약관상 위약금 면제 규정 적용 여부도 검토한 결과, 적용이 가능하다고 판단했다. 조사결과 SK텔레콤의 과실이 확인되고 안전한 통신서비스 제공이라는 계약상 주된 의무를 위반했다는 것이 이유다.

유심정보 유출은 제3자가 유심 복제를 통해 이용자의 전화번호로 통신서비스를 이용하거나 이용자에게 걸려온 전화·문자를 가로챌 수 있는 위험한 상황을 초래할 수 있어 안전한 통신서비스 제공 의무 위반에 해당한다고 정부는 판단했다.

과기정통부는 SK텔레콤에 재발방지 대책에 따른 이행계획을 7월 중 제출하도록 하고 8∼10월 이행 여부를 점검할 예정이다. 이행점검 결과 보완이 필요한 사항이 발생하면 정보통신망법에 따라 시정조치를 명령할 계획이다.

유상임 과기정통부 장관은 "이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 기반 전반의 정보보호에 경종을 울리는 사고였다"며 "SK텔레콤은 국내 1위 이동통신 사업자로 국민 생활에 큰 영향을 미치는 만큼 이번 사고를 계기로 확인된 취약점을 철저히 조치하고 향후 정보보호를 기업 경영의 최우선 순위로 두어야 할 것"이라고 말했다.