SK텔레콤 지난 2021년부터 해킹 당해...휴대폰 정보 약 2696만건 유출

SK텔레콤이 지난 2021년부터 서버 해킹을 당했지만 이에 제대로 대응하지 못한 것으로 밝혔다.

과학기술정보통신부는 7월 4일 서울본관브리핑실에서 SK텔레콤 침해사고 조사 결과를 발표했다.

과기정통부는 해커가 외부 인터넷 연결 접점이 있는 시스템 관리망 내 서버A에 접속 후 타 서버에 침투하기 위해 원격제어, 백도어 기능 등이 포함된 악성코드를 2021년 8월 6일에 설치했다고 설명했다. 당시 서버A에는 시스템 관리망 내 서버들의 계정 정보(ID, 비밀번호 등)가 평문으로 저장돼 있었으며 해커는 동 계정정보를 활용해 시스템 관리망 내 타 서버(B)에 접속한 것으로 추정된다.

해커는 시스템 관리망을 통해 고객 관리망 내 서버에 접속한 것으로 추정되며, 2022년 6월 서버 접속 후 악성코드(웹쉘, BPFDoor)를 설치했다. 해커는 2023년 11월부터 2025년 4월까지 시스템 관리망 내 여러 서버에 추가로 악성코드를 설치했다.

이후 해커는 2025년 4월 18일 음성통화인증 3개 서버에 저장된 유심정보 9.82기가바이트(GB)를 시스템 관리망 내 외부 인터넷 연결 접점이 있는 서버 C를 거쳐 유출했다.

조사단은 이번 침해사고로 공격받은 총 28대 서버에 대한 디지털 증거수집(포렌식) 분석 결과, BPFDoor 27종을 포함한 악성코드 33종을 확인했다.

유출된 정보는 전화번호, 가입자 식별번호(IMSI) 등 유심정보 25종이며 유출 규모는 9.82기가 바이트(GB), 가입자 식별번호 기준 약 2696만건이었다.

과기정통부는 이번 침해사고에서 SK텔레콤의 과실이 발견된 점, SK텔레콤이 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때 이번 침해사고는 SK텔레콤 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다.