[디지털데일리 강소현기자] SK텔레콤 사이버침해 사고와 관련 추가 발견된 감염서버에 단말기 고유식별번호(IMEI)도 포함된 것으로 나타난 가운데, 정부가 IMEI 유출에 따른 복제폰 생성은 불가하다는 입장을 밝혔다.

류제명 과학기술정보통신부(이하 과기정통부) 네트워크정책실장<사진>은 19일 오전 진행된 ‘SK텔레콤 침해사고 관련 민관합동조사단 중간 조사 결과’ 브리핑에서 “IMEI 값은 열다섯 자리의 숫자 조합인데, 이러한 숫자 조합만 가지고 복제폰을 생성하는 것은 원천적으로 불가능하다는 것이 제조사의 해석”이라며 이 같이 밝혔다.

이날 민간합동조사단 발표에 따르면, 지난달 29일 1차 발표 이후 공격을 받은 정황이 있는 서버가 추가로 18대 식별되어 누적 감염서버는 총 23대로 집계됐다. 추가 감염서버는 통합고객인증 서버와 연동된 서버들이었다.

특히 이 서버들에는 고객 인증을 목적으로 호출된 IMEI와 다수의 개인정보(이름, 생년월일, 전화번호, 이메일 등)가 있는 것으로 나타났다.

조사단은 해당 서버의 저장된 파일에 총 29만1831건의 IMEI가 포함된 사실을 확인했으며, 기록이 남아있는 기간(2024년12월3일∼2025년4월24일)에는 자료유출이 없었다고 밝혔다.

문제는 로그기록이 남아있지 않은 기간이었다. 최초 악성코드가 설치된 시점부터 로그기록이 남아있지 않은 기간(2022년6월15일∼2024년12월2일)의 자료 유출 여부는 현재까지 확인되지 않았다. 즉, 해당 기간 IMEI 유출 가능성을 배제할 수 없는 것이다.

이동근 KISA 디지털위협대응본부장은 “개인정보를 저장·처리하는 내용이 법적으로 정해져있는데, 일단 사업자 측에서 그런 기준을 적용하지 않은 것 같다”라며 “로그가 4~5개월 정도밖에 보관이 안 돼 있던 걸로 판단하고 있고, 최초 시점하고 연결 짓는 로그가 부재하다”라고 설명했다.

로그가 부재한 기간에 대해선 “현실적으로는 로그가 없으면 (정보 유출 여부를) 판단하기가 굉장히 어려운 점이 있다”라며 “관련해선 다각적으로 (대응방안을) 검토하고 있다”라고 밝혔다.

류제명 실장도 “5월11일 개인정보 등이 저장된 문제의 서버들을 확인한 즉시 (사업자에) 조치를 강구하라고 요구했다”라며 “그 요구에 대한 반응으로 비정상인증시도 차단(FDS) 2.0 고도화 작업을 앞당겨 적용한 것으로 이해하고 있다”고 부연했다.

다만, 정부는 이번 유출에 대해 복제폰 생성 등의 2차 피해를 우려할 필요 없다는 입장이다.

류제명 실장은 “단말과 숫자를 인증하는 인증키 값을 제조사가 가지고 있기 때문에 (IMEI) 열다섯 자리 숫자가 복제됐다 해서 복제폰 생성이 가능하지는 않다라는 해석을 제조사로부터 들었다”라며 “그동안의 피해 사례나 모니터링하면서 상당히 높은 수준의 경계 상태를 유지해왔는데 피해가 발생하지 않았으며 현재 작동하고 있는 기술적 시스템 등을 감안할 때 큰 우려는 안해도 된다”고 말했다.