생각보다 더 심각한 SKT 해킹 2차 조사 결과

1. 민관합동조사단 2차 발표…감염 서버 23대로 늘어

민관합동조사단은 19일 정부서울청사 브리핑에서 1차 조사 때 확인된 5대 외에 18대의 감염 서버를 추가로 발견했다고 밝혔다. 이로써 SK텔레콤 내부에서 악성코드에 감염된 서버는 총 23대로 집계된다. 현재까지 포렌식‧로그 분석이 끝난 서버는 15대이며, 나머지 8대는 5월 말까지 정밀 분석이 이어진다.

2. 악성코드 25종 확인…BPFDoor 변종 12종·웹셸 1종 추가

조사단은 1차 때 확인한 12종 외에 BPFDoor 계열 변종 12종과 웹셸 1종을 새로 식별해, 총 25종의 악성코드를 제거·격리했다고 설명했다. BPFDoor는 리눅스와 윈도우 환경 모두에서 포트 우회·백도어 기능을 수행하는 고난도 APT(지능형 지속 위협) 도구로 알려져 있다.

3. IMEI 291,831건 포함된 파일 발견…데이터 유출 여부는 ‘미확정’

추가 감염 서버 가운데 2대가 통합고객인증(AAA) 시스템과 연동돼 기기 식별번호(IMEI)와 개인정보를 임시 저장하던 서버였다. 이들 서버에서 총 291,831건의 IMEI 레코드와 이름·생년월일·전화번호·이메일 등이 포함된 파일이 확인됐다. 다만, 방화벽 로그가 남아 있는 2024-12-03 ∼ 2025-04-24 기간에는 외부 전송 기록이 없었으나, 최초 악성코드가 설치된 2022-06-15 ∼ 2024-12-02 구간은 로그가 삭제돼 유출 여부를 확정하기 어렵다는 게 조사단의 설명이다.

4. 1차 조사에서 드러난 USIM 정보 9.82 GB(≈2,695만 IMSI)

앞서 1차 조사에서는 홈가입자서버(HSS) 3대에서 가입자식별번호(IMSI)·인증키 등 USIM 관련 4종 정보 9.82 GB가 유출된 사실이 확인됐다. 이는 IMSI 기준 약 2,695만 건에 해당해 SK텔레콤 가입자 전원이 잠재적 피해 대상이라는 우려가 제기됐다.

5. 정부‧업계 대응: ‘보안강화 TF’·전면 점검

과학기술정보통신부는 이번 사건을 계기로 **통신 3사와 주요 플랫폼 기업을 대상으로 ‘보안강화 TF’**를 운영 중이다. 중앙행정기관·지방자치단체·공공기관은 국가정보원 주관으로 자체 점검을 실시하며, 조사단은 “추가 피해 가능성이 발견되면 즉시 공개하고 대응하겠다”고 밝혔다.

6. 이용자·기업이 취할 보안 조치

구분	권고 사항
개인 이용자	▸ 통신사 문자 안내 확인 후 기기 이상 징후 점검 ▸ IMEI·USIM 교체 및 통신사 패스워드 주기적 변경 ▸ 2차 인증(OTP, FIDO) 활성화
기업·기관	▸ 외부 노출 서버 OS·미들웨어 최신 패치 적용 ▸ BPFDoor 탐지용 IDS 룰 업데이트 & 네트워크 세그먼트 분리 ▸ 백업 데이터 오프라인 보관 및 로그 장기 보존 정책 수립