정부, SKT 해킹 1차 조사 “단말기 고유식별번호(IMEI) 유출은 없어”

과학기술정보통신부(이하 ‘과기정통부)의 SKT 해킹 사고 1차 조사에 따르면 현재로서는 단말기 고유식별번호(IMEI) 유출은 없는 것으로 나타났다.

29일 과기정통부는 지난 18일 발생한 SKT의 유심 정보 해킹 사건에 대해 민관합동조사단(이하 조사단)이 1주일 간 조사한 1차 결과를 발표했다. 조사단은 이번 침해 사고에 따른 IMEI 유출은 없으며 따라서 SKT 유심 보호 서비스에 가입할 경우 유심 복제 심스와핑을 방지할 수 있다고 밝혔다.

SKT는 유출된 유심 정보로 타 휴대폰에서 해당 고객의 명의로 통신 서비스에 접속하는 것을 막기 위해 유심 보호 서비스를 현재 무료로 제공하며, 유심 교체도 무료 진행 중이다.

IMEI는 International Mobile Equipment Identity의 약어로, 모든 모바일 단말 장치에 할당되는 15자리의 고유 코드다. 단말 장치의 고유 식별 번호로, 사람으로 치면 주민등록증이나 운전면허증 등과 같은 신분증에 해당된다.

단말기 추적이나 인증에 사용되고, 새로운 휴대폰이나 태블릿 등을 구매해 사용하려면 네트워크 연결 및 활성화를 위해서 IMEI를 필수 요구한다. IMEI는 장치의 진위 여부를 보장하고 통신사 네트워크와의 호환성을 확보해 단말이 네트워크에서 사용될 수 있도록 해주기 때문에 IMEI가 유출, 악용될 경우 이번 사건으로 인한 피해 범위는 대단히 커질 수 있다.

조사단은 공격 받은 정황이 있는 SKT의 3종 5대 서버들을 조사했고 기타 중요 정보들이 포함된 서버들로 확대 조사 중이다. 지금까지의 조사에 따르면 가입자 전화번호, 가입자식별키(IMSI) 등 유심(USIM) 복제에 활용될 수 있는 4종과, 유심(USIM) 정보 처리 등에 필요한 SKT 관리용 정보 21종이 유출된 것으로 드러났다.

또한 침해 사고 조사 과정에서 침투에 사용된 BPFDoor 계열의 악성코드 4종이 발견됐다. BPFDoor는 BPF(Berkeley Packet Filter)를 악용한 백도어(Backdoor)로, 은닉성이 높다.

리눅스 운영체계(OS)에 내장되는 BPF는 연결망 점검·걸러내기(네트워크 모니터링·필터) 기능을 수행한다. BPF는 유저 모드 프로그램이 네트워크 필터에 어태치해 소켓을 통해 들어오는 데이터를 허용하거나 거부할 수 있도록 해주는 기술이다. 실행 프로그램이 사용 중인 네트워크 소켓에 패킷 필터링 룰을 등록할 수 있으며 이를 통해 데이터를 읽거나 알림을 받을 수 있다.

BPFDoor는 BPF를 악용해 BPF 패킷 필터를 등록하고 대기한다. 필터는 수신되는 패킷들 중 공격자가 지정한 매직 패킷에 매칭되는 것을 발견하면 BPFDoor에 이를 전달하고 공격자는 매직 패킷이 포함된 명령을 보낸다. 일반적인 백도어 유형의 악성코드들과 달리 BPFDoor는 실행 중 특정 포트를 지속적으로 오픈하고 있지 않아도 작동되므로 감염 시스템에 은밀하게 남아 있을 수 있다.

과기정통부는 유심 교체와 유심 보호 서비스 가입을 적극 권장하고 있다. 과기정통부는 SKT에 유심 예약 시스템 도입과 경로 확대를 촉구한 바 있으며, SKT 유심 보호 서비스에 사업자가 100% 책임질 수 있도록 협의 후 시행토록 했다고 밝혔다.