SKT 개인정보 유출 2차 파문이 일어나면서 사태가 더욱 심각해지고 있습니다. 민관 합동 조사단이 발표한 2차 조사 결과에 따르면 유심 정보뿐 아니라 휴대전화의 고유 식별번호인 IMEI 정보까지 유출됐을 가능성이 확인됐습니다. 게다가 악성코드는 무려 3년 전인 2022년 6월부터 서버에 설치되어 있었던 것으로 추정되고 있어 피해 규모가 더 커질 수 있다는 우려가 높아지고 있습니다. 이번 글에서는 SKT 개인정보 유출 사태의 2차 파문 내용과 그 영향에 대해 자세히 알아보겠습니다.
2차 조사 결과의 주요 내용
SKT 개인정보 유출 2차 파문의 핵심은 휴대전화 단말기 정보까지 유출됐을 가능성이 확인됐다는 점입니다. 민관 합동 조사단이 발표한 2차 조사 결과에 따르면, 1차 결과 발표 때보다 더 많은 종류의 악성 코드가 추가로 발견됐습니다. 또한 공격을 받은 서버도 처음 발표했던 5대에서 23대로 크게 늘어났습니다.
특히 주목할 만한 점은 감염된 서버 중 두 대가 고객 인증을 위한 연동 서버였다는 사실입니다. 이 서버들은 개인정보 저장용 서버가 아님에도 불구하고, 일부 개인정보가 임시로 저장되어 있었습니다. 여기에는 이름, 생년 등의 개인정보와 함께 휴대전화 단말기의 고유 식별번호인 IMEI 정보도 포함되어 있었죠.
또한 심각한 문제는 이 서버에 설치된 악성 코드가 지난 2022년 6월에 설치된 것으로 추정된다는 점입니다. 3년이 넘는 기간 동안 해커들이 시스템에 접근할 수 있었다는 의미로, 피해 규모가 애초 예상보다 훨씬 클 수 있다는 우려를 낳고 있습니다.
그러나 로그 기록 확인이 가능한 것은 지난해 12월 3일부터 지난달 24일까지 고작 4개월뿐이라는 점이 또 다른 문제입니다. 합동 조사단은 이 기간 동안 서버에 임시로 저장됐던 단말기 식별번호 약 29만 건은 적어도 유출되지 않았다고 설명했지만, 로그 기록이 없는 그 이전 2년 6개월 동안의 IMEI 유출 가능성에 대해서는 명확한 답을 내놓지 못했습니다.
1차 조사 결과와의 차이점
1차 조사 때와 비교해서 달라진 주요 내용은 다음과 같습니다:
1) 공격 대상 서버 수 증가: 5대에서 23대로 증가
2) 악성코드 종류 증가: 더 다양한 종류의 악성코드 발견
3) 유출 정보 확대: 유심 정보 외에 IMEI 정보 유출 가능성 확인
4) 해킹 기간 확인: 최소 2022년 6월부터 악성코드 설치 추정
SKT는 지금까지 단말기 식별번호가 유출되지 않은 상황을 전제로 유심보호 서비스 등 여러 대안을 실행해 왔는데, 이제 상황이 달라진 만큼 추가 대책 마련이 불가피해졌습니다.
IMEI란? 단말기 식별번호의 중요성
IMEI는 언제 어디서나 휴대전화를 식별할 수 있는 국제 모바일 기기 식별 번호(International Mobile Equipment Identity)를 의미합니다. 말 그대로 휴대전화의 ‘주민등록번호’와 같은 역할을 하는 15자리 숫자로 구성된 고유 식별 코드입니다.
휴대전화 제조 시설에서부터 부여되는 이 번호는 모든 기기마다 다르게 할당되며, 통신망에 접속할 때 중요한 인증 요소로 활용됩니다. 예를 들어, 우리가 휴대전화로 통화를 하거나 인터넷을 사용할 때 통신사는 유심(USIM) 정보와 함께 이 IMEI 정보를 확인하여 정상적인 사용자인지 검증하는 과정을 거칩니다.
인증의 두 가지 열쇠: 유심과 IMEI
통신사 시스템에서 사용자 인증은 크게 두 가지 ‘열쇠’를 통해 이루어집니다:
1) 유심(USIM) 정보: 가입자 식별 모듈로, 통신사와 계약한 사용자 정보가 담겨 있음
2) IMEI 정보: 단말기 자체의 고유 식별번호
이 두 정보가 일치해야만 정상적인 통신 서비스 이용이 가능하도록 설계되어 있습니다. 따라서 SKT가 그동안 “유심 정보가 유출됐더라도 IMEI 정보가 없으면 복제 유심의 접속을 차단할 수 있다”고 자신했던 이유가 바로 이 때문입니다.
하지만 이번 2차 조사에서 IMEI 정보까지 유출됐을 가능성이 확인됨에 따라, 해커가 이론적으로 완벽한 휴대전화 복제를 시도할 수 있는 두 가지 핵심 정보를 모두 확보했을 수 있다는 우려가 제기되고 있습니다.
IMEI 정보 유출의 위험성
다행히도 합동 조사단은 “단말기 식별번호만을 이용해서 휴대전화를 복제해 실제 작동시킬 수 있는 상황은 아니”라고 설명했습니다. 즉, IMEI 정보와 유심 정보가 모두 있다고 해도 실제로 휴대전화를 완벽하게 복제하기 위해서는 추가적인 기술적 장벽이 존재한다는 뜻입니다.
그러나 전문가들은 여전히 두 가지 정보의 유출은 심각한 보안 위협이 될 수 있다고 경고합니다. 특히 기술이 발전하고 해킹 기법이 고도화됨에 따라 현재는 불가능해 보이는 공격도 미래에는 가능해질 수 있기 때문입니다.
피해 규모와 대응 현황
SKT 개인정보 유출 2차 파문으로 인한 정확한 피해 규모는 여전히 파악 중입니다. 합동 조사단의 발표에 따르면, 로그 기록을 확인할 수 있는 최근 4개월간(2023년 12월 3일부터 2024년 4월 24일까지) 서버에 임시 저장됐던 단말기 식별번호 약 29만 건은 유출되지 않은 것으로 확인됐습니다.
하지만 진짜 문제는 로그 기록이 없는 그 이전 2년 6개월(2022년 6월부터 2023년 12월까지)의 상황입니다. 이 기간 동안 얼마나 많은 단말기 식별번호가 서버에 임시 저장됐고, 그중 얼마나 많은 정보가 유출됐는지는 현재로서는 확인이 불가능한 상태입니다.
SKT 이용자 수가 약 3,000만 명에 달한다는 점을 고려하면, 이론적으로는 수백만 명의 개인정보가 위험에 노출됐을 가능성도 배제할 수 없습니다. 다만, 합동 조사단은 모든 이용자의 정보가 해당 서버에 저장된 것은 아니며, 주로 특정 시점에 인증 과정을 거친 이용자의 정보만이 임시로 저장됐다고 설명하고 있습니다.
SKT의 초기 대응
SKT는 1차 조사 결과 발표 이후 다음과 같은 대응 조치를 취했습니다:
1) 유심보호 서비스 강화: 비정상적인 유심 변경 시도에 대한 모니터링 및 차단 시스템 강화
2) 고객 알림 서비스: 유심 변경, 비정상 로그인 시도 등 이상 징후 발생 시 즉각적인 알림 제공
3) 피해 고객 지원: 개인정보 유출로 인한 2차 피해 발생 시 법적 지원 및 보상 약속
4) 보안 시스템 개선: 해킹당한 서버 격리 및 전체 시스템 보안 점검
그러나 이러한 대응은 주로 ‘유심 정보만 유출됐다’는 전제 하에 설계된 것이었습니다. 이번에 IMEI 정보까지 유출됐을 가능성이 확인됨에 따라, SKT는 추가적인 대책 마련에 나설 것으로 보입니다.
정부 및 유관기관의 대응
정부와 유관기관 역시 이번 사태의 심각성을 인식하고 다양한 대응에 나서고 있습니다:
1) 민관 합동 조사단 운영: 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원(KISA) 등이 참여
2) 보안 점검 확대: 다른 통신사들에 대한 긴급 보안 점검 실시
3) 제도적 개선 논의: 개인정보 유출 사고 대응 체계 및 통신사 보안 규제 강화 방안 검토
특히 개인정보보호위원회는 최근 SKT의 과실이 확인될 경우 매출액의 최대 3%에 해당하는 과징금을 부과할 수 있다고 밝힌 바 있습니다. 이는 수천억 원에 달하는 금액이 될 수 있어, SKT에게는 큰 부담으로 작용할 전망입니다.
3년간 지속된 해킹, 왜 발견하지 못했나?
SKT 개인정보 유출 2차 파문에서 가장 충격적인 부분은 악성코드가 3년 넘게 시스템 내에 존재했음에도 발견되지 못했다는 사실입니다. 민관 합동 조사단의 발표에 따르면, 서버에 설치된 악성코드는 2022년 6월부터 있었던 것으로 추정되고 있습니다.
이렇게 오랜 기간 동안 해킹이 발견되지 못한 이유에 대해 여러 가지 분석이 나오고 있습니다.
지능적인 해킹 기법
전문가들은 이번 해킹이 매우 지능적이고 교묘한 방식으로 이루어졌을 가능성이 크다고 분석합니다. 일반적인 해킹과 달리 국가 지원 해킹 그룹(state-sponsored hacking group)이나 고도로 조직화된 해커집단의 소행일 수 있다는 의견도 제기되고 있습니다.
실제로 해커들은 다음과 같은 기법을 사용했을 것으로 추정됩니다:
1) 은폐형 악성코드 사용: 일반적인 보안 프로그램으로는 탐지하기 어려운 특수 악성코드 활용
2) 최소한의 데이터 추출: 시스템에 과부하를 주지 않도록 소량씩 오랜 기간에 걸쳐 데이터 유출
3) 로그 기록 삭제: 자신들의 활동 흔적을 지우기 위해 로그 파일 조작 또는 삭제
SKT 보안 시스템의 한계
한편으로는 SKT의 보안 시스템이 이러한 고도화된 해킹에 대응하기에 한계가 있었다는 지적도 나오고 있습니다. 특히 다음과 같은 문제점들이 지적되고 있습니다:
1) 로그 관리 시스템 미흡: 로그 기록이 불과 4개월만 보관된 점
2) 정기적인 보안 점검 부실: 3년간 악성코드를 발견하지 못한 점
3) 인증 서버의 개인정보 임시 저장: 개인정보 저장이 필요 없는 서버에 민감 정보가 저장된 점
특히 로그 기록이 단기간만 보관되는 시스템은 장기간에 걸친 해킹 공격을 탐지하는 데 큰 한계로 작용합니다. 보안 전문가들은 중요 시스템의 로그는 최소 1년 이상, 가능하면 더 오랜 기간 보관하는 것이 권장된다고 지적하고 있습니다.
디지털 포렌식의 어려움
합동 조사단은 로그 기록이 없는 과거 기간에 대해 디지털 포렌식 조사를 진행 중이지만, 이미 시간이 많이 경과했고 해커들이 흔적을 지웠을 가능성이 높아 정확한 피해 규모를 파악하는 데 어려움을 겪고 있습니다.
디지털 포렌식에서는 “증거가 없다”는 것이 “사건이 없었다”는 것을 의미하지는 않습니다. 즉, 유출의 흔적이 발견되지 않더라도 실제로 유출이 없었다고 단정하기는 어렵다는 것이죠.
결국 SKT와 합동 조사단은 ‘최악의 상황을 가정‘하고 대응책을 마련해야 하는 상황에 놓여있습니다. 이는 모든 개인정보가 유출됐을 가능성을 배제할 수 없기 때문입니다.
소비자 입장에서 알아야 할 대처법
SKT 개인정보 유출 2차 파문으로 많은 소비자들이 불안감을 느끼고 있습니다. 특히 IMEI 정보까지 유출됐을 가능성이 제기되면서 더욱 심각한 상황이 되었습니다. 그렇다면 SKT 이용자들은 어떻게 대처해야 할까요?
즉시 취해야 할 조치
SKT 이용자라면 다음과 같은 조치를 최대한 빨리 취하는 것이 좋습니다:
1) 비밀번호 변경: 통신사 계정, 금융 서비스, 이메일 등 주요 서비스의 비밀번호를 즉시 변경
2) 유심보호 서비스 가입: SKT가 제공하는 유심보호 서비스에 가입하여 비정상적인 유심 변경 시도 차단
3) 이상 징후 모니터링: 내 명의로 발생하는 통화, 문자, 데이터 사용량 등을 주기적으로 확인
4) 이중 인증 설정: 주요 서비스에 이중 인증(2FA)을 설정하여 보안 강화
특히 스스로 이상 징후를 포착하는 것이 중요합니다. 예를 들어, 갑자기 휴대폰 신호가 끊기거나, 모르는 번호로 인증 문자가 오거나, 내가 사용하지 않은 데이터 요금이 청구된다면 즉시 통신사에 문의해야 합니다.
금융 사기에 대한 대비
개인정보 유출 이후 가장 흔히 발생하는 2차 피해는 금융 사기입니다. 다음과 같은 대비책을 마련해두는 것이 좋습니다:
1) 금융거래 알림 서비스 활성화: 모든 은행 계좌와 카드 사용에 대한 알림 설정
2) 신용정보 모니터링: 한국신용정보원에서 제공하는 ‘내 신용정보 조회 서비스’를 통해 주기적인 확인
3) 보이스피싱 주의: 통신사나 금융기관을 사칭한 전화에 개인정보나 인증 번호를 알려주지 않기
4) 금융 거래 제한: 필요시 은행 계좌 지급정지, 카드 사용 한도 축소 등의 조치 고려
해커들은 유출된 개인정보를 이용해 매우 정교한 사기 시도를 할 수 있습니다. 예를 들어, 이름, 생년월일, 전화번호 등 기본적인 정보를 알고 있기 때문에 마치 실제 금융기관이나 통신사에서 연락온 것처럼 속일 수 있습니다. 따라서 의심스러운 연락에는 항상 주의하고, 직접 공식 연락처로 문의하는 습관을 들이는 것이 중요합니다.
장기적인 대응 방안
당장의 위험에 대응하는 것과 함께, 장기적인 관점에서도 다음과 같은 대응 방안을 고려해볼 수 있습니다:
1) 정기적인 비밀번호 변경: 주요 서비스의 비밀번호를 3~6개월마다 주기적으로 변경
2) 분리된 이메일 사용: 중요한 서비스와 일상적인 서비스에 서로 다른 이메일 계정 사용
3) 중요 문서 암호화: 주민등록번호, 계좌번호 등이 포함된 파일은 암호화하여 보관
4) 개인정보 노출 여부 확인: KISA의 ‘개인정보 노출 확인 서비스’ 활용
개인정보 유출은 단기간에 끝나는 문제가 아닙니다. 유출된 정보는 다크웹 등을 통해 오랜 기간 거래될 수 있으며, 해커들은 때를 기다렸다가 공격을 시도할 수도 있습니다. 따라서 지속적인 주의와 관리가 필요합니다.
향후 전망 및 대책
SKT 개인정보 유출 2차 파문은 앞으로도 계속해서 새로운 국면을 맞이할 가능성이 높습니다. 민관 합동 조사단의 조사가 깊어질수록 추가적인 피해 사실이 드러날 수 있고, 소비자들의 집단 소송이나 정부의 제재 조치도 예상됩니다.
SKT의 추가 대책
SKT는 IMEI 정보 유출 가능성이 확인된 만큼, 기존보다 한층 강화된 대책을 내놓을 것으로 예상됩니다. 특히 다음과 같은 조치가 예상됩니다:
1) 보상 확대: 개인정보 유출로 인한 피해 보상 범위 확대 및 절차 간소화
2) 보안 시스템 전면 개편: 로그 관리 시스템 강화, 보안 모니터링 체계 고도화
3) 고객 인증 체계 강화: 유심과 IMEI 외에 추가적인 인증 요소 도입
4) 전담 지원팀 운영: 피해 신고 및 상담을 위한 전담 지원팀 확대
특히 SKT는 이번 사태를 계기로 단순히 당장의 위기를 모면하는 차원이 아니라, 장기적인 보안 체계 개선에 나설 것으로 예상됩니다. 이는 통신업계 전반의 보안 표준을 높이는 계기가 될 수도 있습니다.
정부 및 규제 당국의 대응
정부와 규제 당국 역시 이번 사태를 통신업계 전반의 보안 강화 계기로 삼을 것으로 보입니다. 예상되는 대응은 다음과 같습니다:
1) 통신사 보안 규제 강화: 개인정보 보호 관련 법규 및 가이드라인 강화
2) 주기적인 보안 감사 의무화: 통신사들에 대한 정기적인 보안 감사 실시
3) 처벌 및 과징금 강화: 개인정보 유출 사고에 대한 처벌 수위 상향
4) 소비자 알 권리 강화: 개인정보 유출 시 소비자에게 더 상세한 정보 제공 의무화
이미 개인정보보호위원회는 SKT에 대한 조사를 진행 중이며, 과징금 부과 가능성도 언급한 상태입니다. 아울러 방송통신위원회도 통신사업자에 대한 관리·감독 강화 방안을 검토 중입니다.
통신 보안의 미래 전망
이번 사태는 장기적으로 통신 보안에 대한 인식과 체계를 변화시키는 계기가 될 것으로 전망됩니다. 특히 다음과 같은 변화가 예상됩니다:
1) 생체 인증 확대: 지문, 안면 인식 등 생체 정보를 활용한 인증 체계 확대
2) 블록체인 기술 도입: 개인정보 관리에 있어 분산형 저장 방식 도입
3) AI 보안 시스템 강화: 인공지능 기반의 이상 징후 탐지 시스템 도입
4) 제로 트러스트 보안 모델: 기본적으로 모든 접근을 의심하는 보안 체계로 전환
이처럼 SKT 개인정보 유출 2차 파문은 단순한 해킹 사고를 넘어, 우리나라 통신 보안의 현주소를 돌아보고 미래를 준비하는 계기가 될 것으로 보입니다. 소비자 입장에서는 당장의 불안함이 크겠지만, 장기적으로는 더 안전한 통신 환경을 구축하는 전환점이 될 수 있을 것입니다.
SKT 개인정보 유출 사태 데이터 시각화
1. SKT 해킹 사고 타임라인
2022년 6월
악성코드 최초 설치 시점(추정)
2022년 6월~2023년 12월
로그 기록 없는 기간 – 피해 규모 파악 불가
2023년 12월 3일
로그 기록 확인 가능 시작 시점
2024년 4월 24일
로그 기록 확인 가능 종료 시점
2024년 5월 초
1차 조사 결과 발표 – 유심 정보 유출 확인
2024년 5월 중순
2차 조사 결과 발표 – IMEI 정보 유출 가능성 확인
2. 해킹 영향 범위 비교 (1차 vs 2차 조사)
| 구분 | 1차 조사 결과 | 2차 조사 결과 |
|---|---|---|
| 공격 대상 서버 | 5대 | 23대 |
| 유출 정보 | 유심 정보 | 유심 정보 + IMEI 정보 |
| 해킹 시작 시점 | 미확인 | 2022년 6월(추정) |
| 로그 기록 확인 | 일부 가능 | 4개월분만 가능 |
| 확인된 피해 규모 | 일부 | IMEI 약 29만건 안전 확인 |
3. 개인정보 유출에 따른 위험도 평가
휴대폰 복제 위험
유심 정보와 IMEI 정보가 모두 유출될 경우, 이론적으로 휴대폰 복제가 가능해질 수 있습니다.
금융 사기 위험
개인정보와 연결된 금융 계정에 대한 공격이 시도될 수 있으나, 추가 인증 요소가 있어 위험이 다소 낮습니다.
프라이버시 침해 위험
통화 기록, 위치 정보 등 민감한 개인 활동 데이터가 노출될 위험이 있습니다.
4. 통신사 보안 사고 통계
최근 5년간 한국 통신사 개인정보 유출 사고
2019년: 1건 📱
2020년: 0건
2021년: 1건 📱
2022년: 1건 📱
2023년: 0건
2024년: 1건 📱📱📱 (SKT 사고, 규모 대형)
디지털 시대의 개인정보, 우리의 책임과 권리
SKT 개인정보 유출 2차 파문을 통해 우리는 디지털 시대의 개인정보 보호가 얼마나 중요한지 다시 한번 깨닫게 되었습니다. 유심 정보에 이어 단말기 식별번호인 IMEI까지 유출됐을 가능성이 제기되면서, 이 사태는 단순한 정보 유출을 넘어 우리 사회 전체가 직면한 디지털 보안의 위기로 확대되고 있습니다.
특히 주목할 점은 해킹이 무려 3년이라는 긴 시간 동안 발견되지 않았다는 사실입니다. 이는 아무리 대형 기업이라도 완벽한 보안을 보장할 수 없으며, 끊임없이 진화하는 해킹 기술에 대응하기 위해서는 지속적인 경계와 시스템 개선이 필요하다는 것을 보여줍니다.
그렇다면 이 사태를 통해 우리는 무엇을 배우고, 앞으로 어떤 점에 중점을 두어야 할까요?
기업의 책임과 소비자의 권리
먼저, 기업들은 개인정보 보호에 대한 책임을 더욱 무겁게 느껴야 합니다. SKT와 같은 대형 통신사는 수천만 명의 개인정보를 보관하고 있으며, 이는 단순한 데이터가 아닌 개인의 프라이버시와 직결된 소중한 자산입니다. 따라서 기업들은 단기적인 이익보다 장기적인 관점에서 보안 시스템에 투자하고, 정기적인 점검과 업데이트를 통해 해킹 가능성을 최소화해야 합니다.
한편, 소비자들은 자신의 개인정보에 대한 권리를 적극적으로 행사할 필요가 있습니다. 자신의 정보가 어떻게 수집되고, 저장되고, 활용되는지 알아야 하며, 문제가 발생했을 때 적절한 보상과 대책을 요구할 수 있어야 합니다. 이번 사태를 계기로 많은 소비자들이 SKT에 대한 집단 소송을 준비하고 있는 것도 이러한 권리 행사의 한 형태라고 볼 수 있습니다.
디지털 보안 인식의 전환
더 나아가, 우리 사회 전체적으로 디지털 보안에 대한 인식의 전환이 필요합니다. 개인정보 유출은 더 이상 ‘만약’의 문제가 아닌 ‘언제’의 문제로 접근해야 합니다. 즉, 완벽한 보안은 불가능하다는 전제 하에, 유출이 발생했을 때 피해를 최소화하고 신속하게 대응할 수 있는 체계를 갖추는 것이 중요합니다.
이를 위해 정부와 기업, 소비자가 함께 협력하는 새로운 보안 생태계를 구축할 필요가 있습니다. 정부는 더 강력한 규제와 가이드라인을 제시하고, 기업은 투명한 정보 공개와 신속한 대응 체계를 마련하며, 소비자는 자신의 정보를 보호하기 위한 기본적인 보안 수칙을 실천해야 합니다.
앞으로 우리가 중점을 두어야 할 것
SKT 개인정보 유출 2차 파문을 계기로, 앞으로 우리 사회는 다음과 같은 점에 중점을 두어야 합니다:
1) 개인정보 최소화: 기업들은 필요한 최소한의 개인정보만 수집하고 저장하는 원칙을 준수해야 합니다.
2) 로그 기록 관리 강화: 모든 시스템 접근과 데이터 처리에 대한 로그를 충분한 기간 동안 보관하고 정기적으로 점검해야 합니다.
3) 침해 사고 대응 체계 고도화: 침해 사고 발생 시 신속하게 탐지하고 대응할 수 있는 체계를 갖추어야 합니다.
4) 소비자 교육 강화: 소비자들이 자신의 개인정보를 보호하는 방법을 알고 실천할 수 있도록 교육해야 합니다.
5) 기술적 보안 강화: 암호화, 인증, 접근 제어 등 기술적 보안 조치를 지속적으로 개선해야 합니다.
마지막으로, 이번 사태를 단순한 ‘해프닝’으로 치부하지 말고, 디지털 사회의 근본적인 보안 문제를 해결하기 위한 전환점으로 삼아야 합니다. 우리가 누리는 디지털 편의의 이면에는 항상 보안 위험이 존재한다는 사실을 잊지 말고, 개인과 기업, 사회 모두가 각자의 위치에서 책임을 다할 때 비로소 안전한 디지털 생태계를 구축할 수 있을 것입니다.
SKT 개인정보 유출 2차 파문은 분명 심각한 사태이지만, 이를 통해 우리 사회의 보안 의식이 한 단계 더 성숙해지는 계기가 되기를 바랍니다. 개인정보는 우리의 디지털 정체성이자 소중한 자산임을 기억하고, 이를 보호하기 위한 노력을 게을리하지 말아야 할 것입니다.
자주 묻는 질문
요약 정보
SKT 개인정보 유출 2차 파문의 핵심은 유심 정보뿐 아니라 휴대전화 단말기 식별번호(IMEI)까지 유출됐을 가능성이 확인된 점입니다. 민관 합동 조사단의 2차 조사 결과, 공격을 받은 서버가 5대에서 23대로 늘었고, 악성코드가 무려 3년 전인 2022년 6월부터 설치됐을 것으로 추정됩니다.
그러나 로그 기록이 최근 4개월분(2023년 12월~2024년 4월)만 남아있어, 이전 2년 6개월 동안의 피해 규모는 파악이 불가능한 상황입니다. 합동 조사단은 로그가 남아있는 기간 동안 약 29만 건의 IMEI 정보는 유출되지 않았다고 확인했지만, 로그가 없는 기간에 대해서는 확답을 내놓지 못했습니다.
SKT는 지금까지 단말기 식별번호가 유출되지 않은 상황을 전제로 대책을 실행해왔는데, 이번 조사 결과로 상황이 달라진 만큼 추가 대책 마련이 불가피해졌습니다. 소비자들은 비밀번호 변경, 유심보호 서비스 가입, 이상 징후 모니터링 등의 자구책을 취하는 것이 중요합니다.
“우리의 개인정보는 단순한 데이터가 아닌, 디지털 시대의 우리 자신입니다.
이를 보호하는 일은 기업과 개인 모두의 책임입니다.”
