SK텔레콤이 지난 2021년부터 서버 해킹을 당했지만 이에 제대로 대응하지 못한 것으로 밝혔다.

과학기술정보통신부는 7월 4일 서울본관브리핑실에서 SK텔레콤 침해사고 조사 결과를 발표했다.

과기정통부는 해커가 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버A에 접속 후 타 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드를 2021년 8월 6일에 설치했다고 설명했다. 당시 서버A에는 시스템 관리망 내 서버들의 계정 정보(ID, 비밀번호 등)가 평문으로 저장돼 있었으며 해커는 동 계정정보를 활용해 시스템 관리망 내 타 서버(B)에 접속한 것으로 추정된다.

해커는 시스템 관리망을 통해 고객 관리망 내 서버에 접속한 것으로 추정되며, 2022년 6월 서버 접속 후 악성코드(웹쉘, BPFDoor)를 설치했다. 해커는 2023년 11월부터 2025년 4월까지 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치했다.

이후 해커는 2025년 4월 18일 음성통화인증 3개 서버에 저장된 유심정보 9.82기가바이트(GB)를 시스템 관리망 내 외부 인터넷 연결 접점이 있는 서버 C를 거쳐 유출했다.

조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 디지털 증거수집(포렌식) 분석 결과, BPFDoor 27종을 포함한 악성코드 33종을 확인했다.

유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82기가 바이트(GB), 가입자 식별번호 기준 약 2696만건이었다.

과기정통부는 이번 침해사고에서 SK텔레콤의 과실이 발견된 점, SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때 이번 침해사고는 SK텔레콤 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다.