SK텔레콤 전 가입자의 유심(USIM) 정보와 일부 개인정보가 포함된 서버가 해커의 공격을 받은 정황이 민관 합동 조사 결과 확인됐다. 해커는 지난 2022년 6월 15일 악성코드를 설치한 것으로 추정되며, 이후 3년에 걸친 침투가 있었던 것으로 분석됐다.

민관 조사단은 19일 정부서울청사에서 2차 중간조사 결과를 발표하며, SK텔레콤에서 해킹 피해를 입은 서버 수가 기존 5대에서 총 23대로 늘어났다고 밝혔다. 이 중 15대는 분석을 완료했고, 8대는 현재 정밀 포렌식 중이다.

조사에 따르면 감염 서버 중 2대는 개인정보가 일시 저장되는 서버로, 이름, 생년월일, 전화번호, 이메일 등 주요 정보가 담겼을 가능성이 제기됐다. 또한 IMEI(국제 단말기 식별번호) 정보를 포함해 총 29만 건이 넘는 데이터가 서버에 임시 저장돼 있었던 사실도 새롭게 드러났다.

조사단은 악성코드 활동이 기록되지 않은 2022년 6월부터 2023년 12월 초까지 기간의 데이터 유출 여부는 정확히 확인되지 않았으며, 로그가 남아 있지 않아 향후 분석이 더 어려울 수 있다고 밝혔다. 반면, 2023년 12월 3일부터 2025년 4월 24일까지는 유출 정황이 없는 것으로 파악됐다.

이번 해킹은 중국계 해커 그룹이 사용하는 방식과 유사한 BPFDoor 및 웹셀(Webshell) 등 25종의 악성코드가 확인되었고, 이를 통해 가입자 식별번호(IMSI) 등 유심 정보 약 2,600만 건이 유출된 것으로 추정된다.

정부는 향후 통신사 및 플랫폼사에 대한 보안 점검을 강화하고, 개인정보 보호위원회가 유출 가능성에 대한 조사를 이어가기로 했다.