개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 SK텔레콤(SKT) 개인정보 유출사고의 심각성을 인식하고, 신고 당일(4. 22.) 조사에 착수했고, 집중조사 TF를 구성해 개인정보 보호법에 따른 조사를 진행중이라고 19일 밝혔다.

이날 개인정보위는 "국민적 우려가 큰 대규모 개인정보 유출 사고인 만큼 철저히 조사하는 한편, 관련 대책 강구 등을 통해 재발 방지에 만전을 기할 예정이다"면서 "피싱·스미싱에 대한 대처 방법 안내와 혹시 있을지도 모를 유출정보의 유통에 대비해 인터넷 및 다크웹에 대한 모니터링을 강화하는 한편, 당분간 현 비상대응상황을 유지할 예정"이라고 말했다.

개인정보위는 기 유출 발표된 가입자 휴대전화번호, IMSI, 인증키 등 유심정보를 개인정보라고 판단해 위원회 긴급의결(5. 2.)로 유출이 확인됐거나 가능성이 있는 모든 정보주체에게 개별 통지하고, 피해방지 대책을 마련하도록 촉구한 바 있다.

또 개인정보위 유출조사는 개인정보 보호법(이하 ‘보호법’) 제63조에 따른 것으로, 정보통신망법에 근거한 과기정통부 민관합동조사단의 침해사고 조사와는 구분되며, 개인정보위 조사 핵심은 첫째, 개인정보 유출 대상 및 피해 규모 확정과 둘째, 사업자의 보호법상 안전조치 의무(기술적·관리적 조치 포함) 위반에 대한 확인이라고 말했다.

이에 따라 지난 13일 관계부처 회의 시 과기정통부는 개인정보가 포함된 서버의 추가 감염 가능성을 공유했고, 16일 회의에서 악성코드 추가 감염사실을 확인한 바 있으나, 개인정보위는 이와 별개로, SKT측으로부터 유출조사에 필요한 증적 자료를 별도 확보, 보호법에 따른 조사를 독립적으로 진행하고 있다고 덧붙였다.

개인정보위는 조사 과정에서, 기존 유출경로로 확인된 HSS(가입자인증시스템) 등 5대 외에도 ICAS(통합고객시스템) 서버 2대를 포함 총 18대 서버에 악성코드가 추가 감염된 것을 확인했다고 밝혔다. ICAS(Intergrated Customer Authentication system)는 Tworld 등 사내 서비스 및 사전 인가된 협력사 대상 SKT 가입자의 가입 상태, 정보 및 가입 상품 조회용 API를 제공한다.

해당 서버에는 이름, 생년월일, 휴대전화번호, 이메일, 주소, IMEI(단말기식별번호), IMSI(가입자식별번호) 등 고객의 중요 개인정보를 포함해 총 238개 정보(컬럼값 기준)가 저장되어 있으며, 악성코드에 최초 감염된 시점(’22. 6.)이 오래된 점을 고려해 감염경위, 유출정황 등을 면밀히 조사하고 있다고 밝혔다.

한편 이날 과기정통부의 SKT 침해사고 민관합동조사단(이하 조사단)은 지난 1차 발표(4.29)에 2차 발표를 했다. 조사단은 오는 6월까지 SKT 서버 시스템 전체를 강도 높게 점검한다는 목표하에 1단계(초기 발견된 BPFDoor 감염 여부 확인을 위한 리눅스 서버 집중 점검)에 이어 2단계(: BPFDoor 및 타 악성코드 감염 여부 확인을 위해 리눅스 포함 모든 서버로 점검 대상 확대)로 조사를 확대, 진행하고 있다. 현재까지 4차례 점검이 실시된 1단계 결과를 정리해 이번 2차 발표를 했다.

조사단은 5월19일 현재 총 23대의 서버 감염을 확인해 15대에 대한 포렌식 등 정밀분석을 완료하고 잔여 8대에 대한 분석을 진행함과 동시에 타 악성코드에 대해서도 탐지 및 제거를 위한 5차 점검을 하고 있다. 현재까지 악성코드는 25종(BPFDoor계열 24종 + 웹셸 1종)을 발견, 조치했다.

조사단은 현재까지 SKT의 리눅스 서버 약 3만여대에 대해 4차례에 걸친 점검을 했다. 4차례에 걸친 강도 높은 조사는 1차 점검에서 확인한 BPFDoor 계열 악성코드의 특성(은닉성, 내부까지 깊숙이 침투할 가능성 등)을 감안해 다른 서버에 대한 공격이 있었을 가능성을 확인하기 위한 목적이었다. 특히, 4차 점검은 국내외 알려진 BPFDoor 악성코드 변종 202종을 모두 탐지할 수 있는 툴을 적용했다. 1차(4.19~4.24), 2차(4.23~4.30), 3차(5.3~5.8), 4차(5.8~5.14)

1∼3차 점검은 SKT가 자체 점검 후 조사단이 이를 검증하는 방식으로 진행했고, 4차 점검은 조사단이 한국인터넷진흥원(KISA)의 인력을 지원 받아 직접 조사를 진행했다. 조사단은 1차 조사결과에서 발표한, 유출된 유심정보의 규모가 9.82GB이며, 가입자 식별키(IMSI) 기준 2695만7749건임을 확인했다. 또 악성코드는 1차 공지(4.25.)한 4종, 2차 공지(5.3.)한 8종 외 BPFDoor 계열 12종과 웹셸 1종을 추가로 확인했다.

조사단은 1차(4.25.), 2차(5.3.)는 악성코드 특성 정보, 3차(5.12.)에는 국내외 알려진 BPFDoor 계열 모두를 탐지할 수 있는 툴의 제작방법을 6110개 행정부처, 공공기관, 기업 등에 안내해 피해 확산을 방지했다.

1차 발표 이후 공격을 받은 정황이 있는 서버는 추가로 18대가 식별됐다.현재까지 총 23대). 총 23대 중 현재까지 15대는 정밀 분석(포렌식, 로그분석)을 완료했고, 8대는 5월말까지 분석을 완료할 예정이다. 분석이 완료된 15대 중 개인정보 등을 저장하는 2대를 확인하고 어제(5.18.)까지 2차에 걸쳐 자료 유출 여부에 대해 추가적인 조사를 실시했다. 해당 서버는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 있었다.