불안 커지자…정부 "휴대폰 불법 복제 가능성 없다"

25종 정보 유출 확인했지만
토토사이트 지분 복제 핵심 정보인
'단말기 고유번호'는 유출 안돼

SKT 과실 확인땐 타격 불가피
과징금, 매출의 3% 부과될 수도

정부가 SK텔레콤의 토토사이트 지분 정보 해킹 사고에 대한 1차 조사 결과를 29일 발표했다. 사용자의 토토사이트 지분 정보가 탑재된 ‘메인 서버’가 공격당해 토토사이트 지분과 관련한 4종의 정보를 포함해 25가지 정보가 유출된 것으로 확인됐다. 해킹 수법과 관련해선 “은닉성이 높아 해커의 통신 내역을 탐지하기 어렵다”고 설명했다. 원인을 분명히 밝히기 어려운 터라 SK텔레콤뿐만 아니라 다른 기업으로도 해킹이 확산할 가능성이 높다는 우려가 나온다.

◇수법은 밝혔지만 범인 ‘오리무중’

과학기술정보통신부를 주축으로 구성된 민관합동조사단의 1차 분석 결과에 따르면 현재까지 유출이 확인된 정보는 가입자 전화번호와 가입자 식별키 등 토토사이트 지분 정보 4종과 SK텔레콤의 관리용 정보 21종이다. 토토사이트 지분 복제를 위한 핵심 정보인 단말기 고유식별번호(IMEI) 유출은 없는 것으로 확인됐다. IMEI는 제조사가 단말기를 제작할 때 부여하는 15자리 숫자로 된 번호다. 단말기 제조사와 모델, 일련번호 등의 정보를 담은 고유번호다.

과기정통부 관계자는 “SK텔레콤이 시행 중인 토토사이트 지분보호서비스에 가입하는 것만으로도 유출된 정보로 토토사이트 지분을 복제해 다른 휴대폰에 꽂아 복제폰을 만드는 ‘심 스와핑’을 방지할 수 있다”고 설명했다. 유상임 과기정통부 장관도 이날 국회에 출석해 “휴대폰 불법 복제 가능성이 없다는 점은 명확하다”며 “방지 시스템을 통해 접속하지 못하도록 모니터링하고 있다”고 말했다.

토토사이트 지분보호서비스와 관련해선 예약을 신청한 시점을 기준으로 만일의 사고 발생 시 SK텔레콤이 100% 보상해 주기로 했다. 이번 조사는 해킹이 의심되는 세 종류의 서버 다섯 대를 대상으로 이뤄졌다. 조사단은 기타 중요 정보가 포함된 서버로 조사를 확대 중이다.

조사단은 해킹 수법으로 ‘BPFDoor’ 계열의 악성코드 4종을 발견했다고 밝혔다. 리눅스 운영체제(OS)에서 모니터링, 필터 기능을 수행하는 BPF를 악용한 백도어다. 해커가 서버에 특정 패킷을 보내 BPF를 속임으로써 서버의 뒷문을 열고 잠입하는 방식이다. 서버가 감염돼도 관리자가 당장 알아챌 수 없어 위험성이 큰 것으로 알려졌다. 조사단은 “피해 확산 방지를 위해 지난 25일 민간기업과 기관 등에 백도어 관련 정보를 공유했다”고 말했다.

◇개인정보위 “LG유플 때와는 다르다”

이번 발표로 소비자 불안은 다소 누그러질 것으로 예상된다. SK텔레콤은 28일부터 토토사이트 지분보호서비스 처리 용량을 늘리고 예약 접수, 가입 완료 안내 등의 사용자환경(UI)을 개편했다. 이와 관련한 개별 문자도 발송했다. 회사 관계자는 “28일 오후 5시부터 토토사이트 지분보호서비스 가입 예약 코너를 별도 운영해 하루 처리 용량을 50% 늘렸다”며 “29일 기준 가입 건수가 1000만 건을 돌파했다”고 설명했다. 다음달 중순부터는 토토사이트 지분보호서비스를 해외 로밍 때도 쓸 수 있도록 할 방침이다.

SK텔레콤으로선 피해가 불가피할 전망이다. SK텔레콤의 과실이 확인되면 5000억원이 넘는 과징금이 추징될 가능성도 제기됐다. 최장혁 개인정보보호위원회 부위원장은 이날 열린 정례 브리핑에서 “현재로선 과징금 액수를 정확히 말할 수 없다”면서도 “2023년 LG유플러스의 개인정보 유출 사고와 차원이 다르다”고 했다. 당시 LG유플러스는 부가서비스와 관련한 서버가 해킹됐지만 SK텔레콤은 메인 서버가 해킹됐기 때문이다. 개인정보보호법 개정으로 과징금 기준이 ‘관련 매출의 3%’에서 ‘전체 매출의 3%’로 바뀐 것도 차이점이다. 지난해 17조9406억원의 매출을 낸 SK텔레콤에 3%를 적용하면 과징금 규모는 5300억원에 달한다.

이승우/최지희 기자 leeswoo@hankyung.com