[뉴스토마토 이지은 기자]
SK텔레콤(017670)의 29만건 단말기 고유식별번호(IMEI)가 포함된 임시 서버도 악성코드에 감염됐다는 민관합동조사단 발표에 대해 회사측이 자사 보안시스템과 가용할 수 있는 데이터를 종합적으로 판단한 결과 정보 유출은 없다는 입장을 고수했습니다. 비정상인증차단시스템(FDS)을 통해 유심의 불법 복제를 차단해 왔으며, 최근 기술 고도화를 통해 불법 복제 단말까지 네트워크 내에서 차단 가능하다는 점도 내세웠습니다.
SK텔레콤은 19일 오후 진행된 사이버 침해사고 일일브리핑에서 이같은 내용을 발표했습니다. 류정환 SK텔레콤 네트워크 인프라센터장은 "통합보안관제의 과거 기록을 확인해 봤을 때, 현재까지 유출은 확인되지 않고 있다"고 말했습니다.
19일 진행된 SK텔레콤 일일브리핑에서 (왼쪽부터)김희섭 PR센터장, 류정환 네트워크 인프라센터장, 임봉호 MNO사업부장이 질의응답을 받고 있다. (사진=뉴스토마토)
이날 오전 SK텔레콤 침해 사고 민관합동조사단은 가입자 식별번호(IMSI) 기준 2695만건 이상 유출이 확인된 가운데, 29만건의 단말기 고유식별번호(IMEI)가 포함된 서버도 악성코드에 감염됐다고 발표했습니다. 방화벽 로그 기록이 남아 있는 기간인 지난해 12월3일부터 지난 4월24일까지 관련된 자료 유출은 없지만, 최초 악성코드가 설치된 시점부터 로그 기록이 남아 있지 않은 기간인 2022년 6월15일부터 지난해 12월2일까지는 자료 유출 여부가 확인되지 않는 상태라는 결과도 내놨습니다. 로그 기록이 남아 있지 않은 기간 유출 여부를 100% 확정할 수는 없지만, 유출 가능성은 낮다고 짚었습니다.
김희섭 SK텔레콤 PR센터장은 "로그 기록이 없는 기간 유출 여부를 확인할 수는 없지만, 감시체계를 운영해오고 있어 2년 전 비정상 데이터 흐름이 있었다면 파악해서 신고가 됐을 것"이라며 "지금껏 봐왔던 기술로는 유출이 확인되지 않았다"고 강조했습니다.
2022년 6월15일 악성코드가 최초로 심어졌다는 것을 이번 유심 정보 유출로 인지한 것도 그간 정보 유출이 없었던 방증으로 꼽았습니다. 류정환 네트워크 인프라센터장은 "침해는 잡기 어렵지만, 유출은 패턴과 특징을 갖고 있어 센싱을 할 수 있다"며 "해커들이 정보를 유출하기까지 2~3년 오랜 시간이 걸릴 수 있는데, 이 해커들도 2022년 6월 침입했다가 지난달 첫 번째 정보유출이 됐을 것으로 보고있다"고 말했습니다. 다만 침해 인지가 늦어진 것에 대해, 엔드포인트탐지·대응(EDR) 시스템을 구축하는 등의 노력을 하고 있다고 덧붙였습니다.
SK텔레콤은 현존하는 불법 유심과 복제폰을 네트워크에서 모두 차단할 수 있도록 FDS 강화에도 나섰습니다. 불법 복제 유심을 차단했던 FDS 1.0에서 불법 복제 유심 외 불법 복제 단말까지 차단하고 악용 가능성에 대비하는 FDS 2.0으로 지난 18일 고도화를 완료했습니다. FDS로 단말의 모든 동작 상에서 전방위적 불법, 이상 여부를 탐지할 수 있고, 또 단말 인증 관련 정보 IMEI를 도용한 불법 복제폰도 차단 가능하다는 설명입니다. SK텔레콤은 "지난해 4월 개발에 착수했지만 침해 사고 이후 고객들이 겪을 수 있는 최악의 상황을 감안해 연구개발에 속도를 높여 계획보다 이른 시점에 시스템에 적용했다"고 설명했습니다. SK텔레콤은 알뜰폰 망에도 이를 적용했습니다. 류정환 센터장은 "알뜰폰도 이동통신(MNO)과 동일하게 FDS 2.0이 지원된다"고 말했습니다.
이지은 기자 jieunee@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지