<최우혁 과학기술정보통신부 정보보호네트워크정책관>
안녕하십니까? 민관합동조사단장인 과기정통부 정보보호네트워크정책관 최우혁입니다.

지금부터 SKT 해킹사고에 대한 민관합동조사단의 2차 조사 결과를 말씀드리겠습니다.

조사단은 6월까지 SKT 서버 시스템 전체를 강도 높게 점검한다는 목표하에 1단계, 초기 발견된 BPFDoor 감염 여부를 확인하기 위해 리눅스 서버 약 3만여 대를 집중 점검하고, 2단계, BPFDoor 및 타 악성코드 감염 여부를 확인하기 위해 리눅스 서버를 포함한 모든 서버로 점검 대상을 확대하는 방식으로 조사를 진행하고 있습니다.

현재까지 4차례의 점검이 실시된 1단계 결과를 정리하여 이번 2차 발표를 하게 된 것입니다.

조사단은 5월 19일 현재 총 23대의 서버 감염을 확인하여 15대에 대한 포렌식 등 정밀분석을 완료하였습니다. 나머지 8대에 대한 분석을 진행함과 동시에 타 악성코드에 대해서도 탐지 및 제거를 위한 5차 점검을 진행하고 있습니다. 현재까지 BPFDoor 계열 24종, 웹셸 1종 등 악성코드 25종을 발견 및 조치하였습니다.

조사단은 BPFDoor 탐지를 위한 1단계 조사 과정에서 SKT의 리눅스 서버 약 3만여 대에 대해 4차례에 걸친 점검을 지난 5월 14일까지 진행하였습니다. 4차례에 걸친 강도 높은 점검은 1차 점검에서 확인한 BPFDoor의 은닉성, 내부까지 깊숙이 침투할 가능성 등을 감안하여 다른 서버에 대한 공격이 있었을 가능성을 확인하기 위한 목적이었습니다.

특히, 4차 점검은 SKT 점검 과정에서 발견된 24종을 포함하여 국내외에 알려진 BPFDoor 악성코드 변종 202종을 모두 탐지할 수 있는 툴을 적용하였습니다.

1차부터 3차까지 점검은 SKT가 자체 점검 후 조사단이 이를 검증하는 방식으로 진행하였으며, 4차 점검은 조사단이 한국인터넷진흥원의 인력을 지원받아 직접 조사를 진행하였습니다.

조사단은 지난 1차 조사 결과에서 발표한 유출된 유심정보의 규모가 9.82GB이며, 가입자 식별키 임시기준으로 약 2,696만 건임을 확인하였습니다.

또한, 악성코드는 4월 25일 1차 공지한 4종, 5월 3일 2차 공지한 8종 외 BPFDoor 계열 12종과 웹셸 1종을 추가로 확인하였습니다.

1, 2차 공지는 악성코드 특성 정보, 5월 12일 3차 공지에는 국내외에 알려진 BPFDoor 계열 모두를 탐지할 수 있는 툴의 제작방법을 6,110개 행정부처, 공공기관, 기업 등에 안내하여 피해 확산을 방지하고자 하였습니다.

한편, 과기정통부는 타 통신사 및 주요 플랫폼 기업 대상으로 유사한 사고가 발생할 가능성에 대비해 사건 초기부터 관련 업계와 긴밀히 대응을 해왔습니다. 이를 위해 5월 3일 연휴 기간 중에도 장관이 통신 3사 및 주요 플랫폼 4개 기업의 보안 리더들과 만나 현 상... 보안상황을 점검하고 향후에도 철저한 점검과 대응을 당부한 바 있습니다.

또한, 5월 12일부터는 통신사 및 플랫폼사 보안점검 T/F를 운영하여 타 통신사 및 플랫폼 4개사에 대해 일 또는 주단위로 점검 결과를 확인하고 있습니다.

이와 함께 중앙행정기관, 지자체, 공공기관은 국정원 주관으로 점검을 진행 중으로 현재까지 민간, 공공 분야 모두 신고된 피해 사례는 없습니다.

1차 발표 이후 공격을 받은 정황이 있는 서버는 추가로 18대가 식별되어 현재까지 총 23대가 공격을 받은 정황이 있는 것으로 확인되었습니다.

총 23대 중 15대는 포렌식, 로그 분석 등 정밀분석을 완료하였으며, 나머지 8대는 5월 말까지 분석을 완료할 예정입니다. 분석이 완료된 15대 중 개인정보 등을 임시 저장하는 2대를 확인하였습니다.

이에 조사단은 5월 18일까지 2차에 걸쳐 자료 유출 여부에 대한 추가적인 조사를 실시하고 조사단 전체회의를 5월 14일, 5월 18일 두 차례 진행하였습니다.

해당 서버는 통합고객인증 서버와 연동되는 서버들로 고객 인증을 목적으로 호출된 단말기 고유식별번호(IMEI)와 이름, 생년월일, 전화번호 등 다수의 개인정보가 있었습니다.

한편, 침해사고 발생 후 복제폰으로 인한 피해 우려로 IMEI 유출 여부에 대한 국민적 관심이 높았었습니다.

이에 조사단은 조사 초기 IMEI가 저장된 38대 서버의 악성코드 여부를 집중적으로 점검하여 감염되지 않았음을 확인하고 1차 조사 결과를 발표한 바 있습니다.

이후 악성코드가 감염된 서버들에 대한 정밀 포렌식 분석 중 연동 서버에 일정 기간 임시로 저장되는 파일 안에 IMEI가 포함되고 있음을 확인하게 되었습니다.

동 과정에서 조사단은 해당 서버에 저장된 파일에 총 29만 1,831건의 IMEI가 포함된 사실을 확인하였습니다.

조사단이 2차에 걸쳐서 정밀 조사를 한 결과, 방화벽 로그기록이 남아 있는 2024년 12월 3일부터 2025년 4월 24일간에는 자료 유출이 없었습니다.

다만, 최초로 해당 서버에 악성코드가 설치된 시점인 2022년 6월 15일부터 로그기록이 남아 있지 않은 2024년 12월 2일까지는 자료 유출 여부가 현재까지는 확인되지 않았습니다.

조사단은 개인정보 등이 저장된 문제의 서버들을 확인한 5월 11일 즉시 사업자에게 정밀 분석이 끝나기 전이라도 자료가 유출될 가능성에 대해 자체적으로 확인하는 한편, 이로 인한 국민 피해를 예방할 수 있는 조치를 강구하라고 요구하였습니다.

또한, 개인정보의 경우에는 개인정보보호위원회에서 정밀한 조사가 필요한 사항이라고 보고 개인정보보호위원회에도 개인정보가 포함되어 있다는 사실을 5월 13일에 공유하는 한편, 사업자 동의를 얻어 조사단에서 확보한 서버자료를 5월 16일 개인정보보호위원회에 공유하였습니다.

조사단은 앞으로도 침해사고 조사 과정에서 국민에게 피해가 발생할 수 있는 정황이 발견되는 경우 이를 투명하게 공개하고 사업자로 하여금 신속히 대응하도록 하는 한편, 정부 차원의 대응책도 강구해 나갈 것입니다.

이상으로 조사 결과 2차 발표를 마치겠습니다. 추가로 설명이 필요한 부분은 질의응답을 통해 보다 상세히 설명드리도록 하겠습니다. 감사합니다.


<류제명 과학기술정보통신부 네트워크정책실장>
안녕하십니까? 과학기술정보통신부 네트워크정책실장 류제명입니다.

질의응답에 앞서 조사단 활동과 관련한 정부 입장을 간단히 말씀드리고자 합니다.

정부는 이번 SKT 해킹 사태에 대한 대응에 있어서 다음과 같은 세 가지 원칙을 가지고 임하고 있습니다.

첫째, 조사는 철저히 하겠습니다. 둘째, 모든 과정은 투명하게 하겠다는 것입니다. 그리고 셋째, 조사나 분석상 불가피한 경우가 아니라면 정보주체인 국민들께 먼저 알리고 피해방지대책과 방안을 강구해 나간다는 계획입니다.

해킹 사고의 특성상 악성코드의 발견도 어렵고, 또 발견하고 난 뒤 분석 과정에 시간이 소요되는 것도 사실입니다. 악성코드가 발견되면 다른 기업과 기업들의 피해 확산 방지를 위해 악성코드를 급히 공유해야 할 필요한 있는 반면에 보이지 않는 해커와 상대하는 데 있어서 조사와 분석에 어려움이 발생한다는 그런 딜레마적인 상황도 가지고 있습니다.

보안 공지 시점과 접근 방법에 있어서 약간 저희가 1차, 2차, 3차에 걸쳐서 다른 방식을 취해 왔는데 이러한 것도 방금 말씀드린 그러한 어려움을 감안한 조치들임을 양해해 주시기 바랍니다. 절대 은폐하거나 저희가 축소하는 일은 없을 것임을 거듭 밝힙니다.

이번에 사용된 악성코드와 공격 양태를 보면 굉장히 지금까지 봐 온 것보다 훨씬 더 정교한 분석 작업이 필요하고 노력이 많이 필요합니다. 그래서 저희가 앞으로 잠재된 위험을 끝까지 파헤치지 않으면 앞으로도 큰 위험이 있을 수 있다는 판단하에 조사 자체를 굉장히 강도 높게 하고 있다는 말씀을 드리겠습니다.

이렇게 전례 없이 강도 있게 악성코드를 탐지하려고 노력하는 이유기도 하고, 또 다른 악성코드까지 계속 추적 작업을 하는 이유도 거기에 있다는 말씀을 드리겠습니다.

또한, SK텔레콤 이외에도 통신사나, 다른 통신사나 주요 플랫폼 기업들이나 공공기관들에 대한 우려가 있는 것도 잘 알고 있습니다. 이러한 우려가 있는 지점을 저희가 잘 인식을 하고 이러한 통신사, 타 통신사, 플랫폼 기업, 또 공공기관에 대한 피해 여부, 공격 여부와 피해 여부에 대해서도 동시다발적으로 대응해 나가고 있다는 점도 말씀드리겠습니다.

아까 조사반장이 말씀드린 민간 기업과 관련돼서는 저희 과기정통부에서 계속 작업해 오고 있고, 그리고 정부와 공공기관, 또 군 관련 조직들에 대해서는 동종의 공격에 대해서 국정원을 비롯한 관계기관들이 다 함께 점검하고 있고, 또 특히 선거 기간에 있어서 증가될 수도 있는 사이버 공격에 대한 정부 전체적인 대응태세를 높이기 위해서 지난 금요일부터 사이버 위기 경보 단계도 주의 단계로 상향한 바 있다는 말씀도 드리겠습니다.

감사합니다. 지금부터 질의응답을 받도록 하겠습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 안녕하세요? 이번 브리핑 자료를 보면 좀 애매한 부분이 있어서 질문드리는데요. 일단 2022년 6월 15일을 악성코드가 설치된 시점이라고 보시는 근거가 어디에 있는지 궁금하고, 또 그것 때문에 로그기록이 남아있는 동안만 유출 여부가 확인되지 않은 것이지 그 전은 확인되지 않은 것이니까 가능성이, 유출 가능성이 있다고 보는 게 보안전문가들의 지적입니다. 그럼 이럴 때는 유심보호서비스가 무의미해지는데 어떻게 보시는지 말씀 부탁드리겠습니다.

<답변> (최우혁 과기정통부 정보보호네트워크정책관) 6월 15일 어떻게 추정했냐를 물어보셨는데요. 포렌식을 하면서 악성코드가 설치된 날짜들을 전문가들이 분석합니다. 그걸 확인하면서 데이터들을 정확하게 추적해서 조사단이 2차례에 걸쳐서 심도 있게 검토한 뒤에 확정한 결과입니다. 전문가들을 믿어주시면 감사하겠습니다.

두 번째, 유출되지 않은 것이나 가능성이 보인다, 라는 전문가들이 있으시다고 말씀하셨지 않습니까? 최근에 로그가 남아있는 부분에 대해서는 유출이 되지 않은 거는 분명하고요. 그 이전에 대한 부분은 추정을 그렇게 하는 전문가들이 있을지는 모르겠지만 지금 상태로서는 조사단에서는 팩트, 지금 그 기간에 대해서 자료가 남아있지 않기 때문에 어떤 추정도 어렵다, 대신에 저희가 수사 상황이라든지 또 다른 추정 근거인 다크웹이라든지 이런 데를 모니터링하고 있습니다. 여기서 아직까지 확인된 바가 없습니다.

<답변> (류제명 과기정통부 네트워크정책실장) 유심보호서비스 관련된 그 부분은 제가 좀 보충 설명드리겠습니다. 저희가 이렇게 구체적으로 IMEI가 노출이 되었다는 사실 또 그리고 분석 결과를 말씀드린 거는 29만 건에 대해서는 노출이 안 됐다... 유출이 안 됐다는 그런 자신감 때문에 저희가 직접 확인해 드리는 것이고요. 문제는 그 이전의 기간 동안의 유출 가능성과 그게 됐을 때 유심보호서비스, 이거에 대한 불안감을 말씀하셨는데요.

저희가 그런 아까 반장이 설명드렸지만 그 이전에 일반적인 보안전문가들이 로그분석 기간이 안 남아있을 때 유출 가능성에 대한 말씀들을 하시는 분도 있고, 그다음에 이번에 BPFDoor라는 이 공격 양태가 상당 기간 장기간에 걸쳐서 은닉하고 활동이 일반적인 그런 것들하고 좀 차이가 있는 점들이 있어서 4개월간의 로그기록이 있는 상태의 공격패턴, 행동 양태하고 그걸 가지고 또 어떻게 판단할 것이냐, 이런 것들에 또 다른 의견들을 갖고 계시는 전문가들도 있습니다.

그래서 저희가 지금 확인한 상황에서는 가능성에 대한 이야기를 하는 거는 좀 어렵다는 판단이고요. 그렇다면 정말 최악의 경우에 유심보호서비스는 어떻게 되는 거냐, 최악의 경우라 하더라도 저희가 다각도로 이 문제의 서버를 발견한 즉시 사업자에게도 일단 분석 과정이 끝나기 전이라도 모든 가능성에 대비하라고 요구한 것도 그런 지점인데요.

그래서 이따 오후에 SK텔레콤이 설명이 있을 거라고 생각됩니다만, 부정가입 접속방지시스템, 이른바 FDS라고 하는 그 시스템에서의 그런 기술적 고도화 작업이 이따가 설명을 들으시겠습니다만, 기존에 설사 복제품 쌍둥이폰이 만들어졌다 하더라도 기존의 폰 자체가 그런 것들이 무용지물이 되는, 무력화되는 그런 시스템이어서 저희는 기술적으로 그런 우려가 없다는 판단을 하고 있습니다.

그리고 또 다양한 방식으로도 제조사하고도 저희가 확인하는 그런 과정을 거치고 있는데요. IMEI 값이 노출된 IMEI 값은 열다섯 자리의 숫자 조합인데 그 숫자 조합만 가지고는 복제품, 쌍둥이 폰은 원천적으로 불가능하다는 것이 제조사들의 해석입니다.

다시 말하면 숫자 외에 그 단말과 숫자를 인증하는 인증키 값을 제조사들이 갖고 있기 때문에 이 폰 자체가 열다섯 자리 숫자만 복제됐다 해서 부팅을 한다 그래서 워킹하는 그런 상황은 아니라는 그런 해석을 지금, 설명을 저희가 제조사로부터도 듣고 있습니다.

그래서 저희 판단에는 최악의 경우라도 현시점에서 그리고 그동안의 피해 사례나 모니터링 결과, 저희가 상당히 높은 수준의 경계 상태를 유지해 왔는데 그런 상태에서 피해가 발생하지 않았다는 점, 그리고 또 현재 작동하고 있는 그런 기술적 시스템들로 이런 우려들은 안 하셔도 되는 정도의 그런 기술적 완성도는 갖고 있다는 그런 판단을 하고 있습니다.

<질문> 방금 로그기록 남아 있지 않은 기간 관련해서 자료가 남아 있지 않기 때문에 어떤 추정도 어렵다고 말씀을 해 주시기는 했는데 조금 구체적으로 이 로그 부재, 그러니까 정보 확인이 불가능한 공백 기간에 대해서 조사단은 앞으로 어떻게 대응할 것인지 여쭙습니다. 이게 로그 부재, 이거 확인 못 하니 그냥 손을 놓는 건지 아니면 어떠한 특정 방법으로 추가 조사를 진행하는 것인지 질문드리고요.

또 추가로 웹셸 1종이 또 나왔는데 이 웹셸 1종은 기존 BPFDoor와는 전혀 다른 방식으로 침투를 한 것인지도 여쭙습니다.

<답변> (이동근 KISA 디지털위협대응본부장) 조사단 부단장을 맡고 있고 KISA의 이동근 본부장입니다. 먼저, 질문 주신 로그가 부재한 기간에 대해서 어떻게 대응할 것이냐 부분인데요. 기술적으로는 로그가 없으면 현실적으로 판단하기가 굉장히 어려운 점이 있습니다. 하지만 여러 가지 다각적인 검토를 하고 있습니다. 혹시 여러 가지 시나리오 베이스들을 검토하고 있고요.

또 하나는 저희가 조사단만 있는 게 아니라 지금 수사기관이라든지 여러 협력 기관들이 지금 조사하고 있는 과정에 일단은 SKT 내부가 아닌 바깥쪽에서 어떤 정보가 나올 수도 있습니다. 그런 부분까지도 저희가 고려해서 다각도로 검토 중이라고 말씀드릴 수 있을 것 같고요.

그리고 웹셸 1종은 말씀드렸던 데이터가 임시로 저장되어 있던 그 서버에서 최초 발견됐는데 그 웹셸은 일반적으로 우리가 널리 알려진 웹셸이었습니다. BPFDoor처럼 이렇게 은닉성을 가지거나 그런 게 아니라 기본적으로 홈페이지를 장악하는 기술에서 많이, 널리 쓰이는 그런 형태의 웹셸이었고요.

지금 이 웹셸이 결국은 아까 기자님도 물어보셨지만 최초 감염 시점하고 연관되어 있는 부분이 있습니다. 최초 설치됐던 게 웹셸이 설치되고 그 이후에 BPFDoor 악성코드가 설치되는 시간 순서로 되어 있기 때문에 그 부분이고, 이 웹셸은 기자님이 말씀하신 것처럼 저희 조사 과정 중에 최초, 언제 감염됐는지 시점을 알려주는 중요한 요소로 작용했고 그것이 특별히 아주 탐지가 안 되거나 그런 게 아니라 일반적인 웹셸이 사용됐다고 말씀드릴 수 있을 것 같습니다.

<질문> 지난해 글로벌 보안 업체 트렌드마이크로가 Red Menshen BPFDoor를 이용해서 국내 통신사를 7월과 12월 두 차례 공격한 정황이 있다고 보고서를 낸 적이 있습니다. 그런데 이 보고서에 나온 수법이나 악성코드가 매우 이번 사건과 유사한데 그렇다고 하면 그때 보고서에 언급된 그 통신사가 SK텔레콤인지, 아니면 두 차례 걸쳐 공격이 있었다고 하니까 다른 통신사에 대한 공격이 또 있었을 수 있는지, 조사 결과 중 나온 게 있다면 공유 부탁드립니다.

<답변> (최우혁 과기정통부 정보보호네트워크정책관) 질문하신 사항에 대해서 저희가 트렌드마이크로에 확인을 요청하였습니다. 그랬는데 트렌드마이크로에서 국내 특정 통신사에 대한 언급은 없었습니다. 그 말인즉슨 고객에 대한 정보를 갖다가 공유하기 어렵다, 라고 한 부분이고요.

BPFDoor에 대해서는 동일한 형태라고 볼 수도 있지만 시기에 대해서 저희가 지금은 특정하기 어렵기 때문에 작년 그 사례가 지금 SK 사례다, 라고 단정하기는 어려울 것 같습니다.

<질문> 아까 실장님 말씀하신 것 중에 복제폰 만들려면 다른 정보도 필요하다, 말씀하셨잖아요. 그런데 사실 유출된 정보 네 가지에 전화번호와 인증키 값도 포함이 돼 있지 않았습니까? 그래서 지금 보도자료에는 IMSI 기준으로 2,600만 건이라고 하셨는데 나머지, 총 네 가지 종류도 그런 규모로, 같은 규모로 유출됐다고 보면 되는 건지 궁금하고요.

그리고 아시겠지만 SKT 이용자 수가 알뜰망 포함해서 2,600만, 2,500만 수준으로 알려져 있는데 더 많은 숫자잖아요. 그럼 이거는 세컨드폰이라든지 그런 것까지 중복해서 사용한 것 때문에 그런 건지, 왜 회선 수보다 더 많은 유출 건이 나온 건지 설명 부탁드립니다.

<답변> (류제명 과기정통부 네트워크정책실장) 1차 때 유심 정보는 전화번호와 임시값을 기준으로 약간 차이는 있습니다. 숫자적인 차이가 있는데 거기에는 다 임시값하고 인증키 값들이 나란히 병렬로 돼 있기 때문에 1차에 유출된 유심 정보 관련된 네 가지 정보는, 전화번호는 제가 다시 말씀드리지만 일부 매칭이 좀 숫자 차이는 있습니다만 임시·인증값들은 같은, 병렬하게 묶여서 이렇게 같이 나갔다고 보시면 될 것 같고요.

<답변> (이동근 KISA 디지털위협대응본부장) 좀 더 상세하게 말씀드리겠습니다. 저희가 2,690만 건으로 말씀드린 부분은 임시 정보가 들어 있는 데이터베이스에서 해커가 추출해서 가지고 간 규모 전체를 말씀드리는 겁니다. 기자님이 문의하신 것처럼 그 규모 안에는 실제 유효하지 않은 번호가 있을 수 있습니다. 예를 들어서 테스트폰이라든지 SKT에서 운영하는 여러 가지 임시값들이 들어 있기 때문에 그 유효성에 대한 부분은 추후에 개인정보보호위원회라든지 이런 쪽에서 명확하게 이게 진짜 정말 순수 가입자 고객이 맞는지를 식별하는 작업이 이루어질 거고요.

저희는 유출 규모를 확정해야 되기 때문에 아까 말씀드린 것처럼 9.8GB가 바깥으로 나갔을 때 그 규모에 대해서 이 콘텐츠가 뭔지를 확인하기 위한 작업이었고 그러다 보니 데이터베이스 안에 있는 전체를 저희가 건수로 뽑았기 때문에 그 유효성을 검증하기보다는 전체 나간 건수 거기에 맞췄다고, 거기에 포커싱을 맞췄다고 보시면 될 것 같습니다.

<질문> 안녕하세요? 저 두 가지 여쭤보고 싶은데요. 처음에는 1차 조사 결과 때는 IMEI가 유출되지 않았다고 분명하게 얘기를 하셨던 것 같은데 2차 결과에서는 사실 좀 유출됐을 가능성도 있다는 식으로 열어두신 거잖아요, 가능성을. 이렇게 달라진 이유가 무엇인지 구체적으로 말씀해 주시면 감사하겠습니다. 1차에서보다 약간 축소 발표된 것, 축소... 1차에서 축소 발표한 것은 아니신지가 궁금하고요.

두 번째로는 말씀하신 대로 IMEI가 유출되면 그 자체로는 복제폰이 어려울 수 있기는 하지만 다른 정보와 결합되는 거에 대해서 다들 우려하고 계시는 바가 있는데 그러면 지금, 그러니까 그런 아까 조치, 지금 하고 있는 조치만으로 충분하다는 식으로 말씀하셨지만 추가적으로 소비자가 해야 되는 다른 조치가 있는지가 궁금합니다.

<답변> (류제명 과기정통부 네트워크정책실장) 4월 29일 저희가 조사단 1차 발표했던 시점은 4월 23일 조사단이 구성된 지 6일 만에 저희가 발표한 것입니다. 조사 초기였고 그 당시에 이 4종에 대한 논란, 그리고 그 시점에서 복제폰에 대한 국민적 우려가 크셨고 사회적으로 논란이 증폭되는 시기였기 때문에 저희가 그 부분은 침투와 관계없이 IMEI가 저장된 모든 서버를 제출받아서 그 서버에 대한 분석 작업을 긴급히 한 것입니다.

거기에서 IMEI를 담고 있는 서버들, 그 서버들이 공격받은 흔적이 있는지, 또 유출이 돼 있는지를 그 단계에서 저희가 확인해서 1차적으로 서버를 보관하고, IMEI 정보를 보관하고 있는 서버들은 공격받은 흔적이 없고 유출되지 않았다는 거를 확인하고 발표해서 광범위하게 확산됐던 그런 우려를 해소하자는 목적이었고 그거는 저희가 그 시점에서 조사 일주일 단계에서 3만 대를 모두 보고 모든 조사 과정을 마칠 수 있는 시기가 아니었기 때문에 1차 조사한 그 차원이고, 그리고 그 1차 조사에서도 신뢰성이 있고, 또 그 정도 분석 결과는 발표할 수 있다는 그런 판단하에 저희가 발표하게 된 것이고요.

그리고 4차에 걸친 강도 높은 조사 작업이 계속 반복되면서 IMEI값을 호출하는 과정 이런, 그런 시스템에서 이 자료가 있다는 걸 저희가 추가로 발견하게 된 겁니다. 그런데 앞으로도, 앞으로도 5차에 걸... 5차 작업들이 진행되고 있는데 그동안 분석하지 못했던... 그 과정에서 포착이 안 됐던 것들이 또 있을 수가 있어서 저희가 100% 그거를 장담하긴 어렵습니다만 그래서 저희가 여러 가지 우려를 해소할 수 있는 다양한 방안을 사업자한테 요구한 것이고요.

그런 시스템하에서는 이제 IMEI가 숫자 열다섯 자리 조합이 노출됐다 해서 이른바 복제폰이 만들어질 가능성은 기술적으로는 거의 해소가 됐다는 판단은 하고 있습니다.

그럼 다른 방식으로 복제폰이 가능하냐? 복제폰이 가능한지 여부에 대해서 저희가 100% 지금 말씀드리긴 어렵습니다만 제조사의 판단이나 사업자의 판단이나 복제폰은 일단 물리적으로 불가능하고, 그리고 이 네트워크에 접속, 만들어졌다 해도 네트워크에 접속하는 거 자체가 완벽하게 차단된다는 그런 설명을 하고 있어서 그 부분에 대해서는 저희는 국민들께서 과도하게 불안해 안 하셨으면 좋겠다는 그런 판단은 하고 있습니다.

그런데 기술적으로 100%가 있을 수 있다는 거는 저희가 장담하기 어려운 부분이기 때문에 사업에게도 만에 하나 있을 수 있는 피해 그걸 경계도 하고 실제 발생할 수 있는 피해에 대해서는 보상책을 확실히 하라는 요구를 한 상태입니다. 오후에 추가적으로 사업자에서 좀 더 발표가 있을 것으로 생각됩니다.

<질문> 로그 기록이 지금 없는 이유가 지금 개인정보보호법에서는 2년 치 로그 기록을 보관하도록 되어 있는데요. 그럼 이거는 해커가 같이 탈취를 해 간 것인지, 그렇다면 SK텔레콤에 이 로그 기록이 없다는 것을 몰랐던 것인지 궁금하고요.

그리고 이번 합동조사 현재, 2차까지 현재 진행한 과정에서 해커가 누구인지에 대한 정황이 확인된 게 있는지, 이게 지금 거의 3년 가까이 유출됐음에도 피해 사례는 없다고 말씀을 주셨는데, 그리고 아까 웹셸도 일반적인 형태라고 하셨으면 이게 금전 탈취 목적이 아닌 북한이나 해커 집단의 과시용 해킹으로 봐도, 볼 여지도 있는 것인지, 그리고 지금 공공기관 등은 국정원 주관으로 한다... 같은 맥락으로 공공기관은 국정원 주관으로 아까 점검한다고 말씀하신 것도 지금 제가 질문드린 것과 연관이 있는 것인지 궁금합니다.

<답변> (최우혁 과기정통부 정보보호네트워크정책관) 제가 3번, 세 번째 것 먼저 말씀을 드리면 피해 확산 방지를 위한 조치는 꼭 민간기업만이 아니라 공공 영역에 대해서도 꼭 필수적입니다. 그래서 저희가 민간기업도 6,000여 개 가까이 하면서 공공기관, 국정원과도 공유를 하면서 공공기관에 대한 점검을 차질 없이 진행하고 있습니다. 앞부분의 약간 기술적인 부분은 부단장께서 말씀을 드리도록.

<답변> (이동근 KISA 디지털위협대응본부장) 기자님 문의하신 첫 번째 로그 관련돼서 말씀드리겠습니다. 개인정보보호법에 따라서 보관해야 되는 거는 개인정보를 저장 처리하는 법적으로 정해진 시스템이 있습니다. 거기에 대해서는 그 기록이 남지만 지금 저희가 임시 저장돼 있다고 말씀드린 그 서버는 실질적으로는 그런 목적으로 쓰인 게 아니라 데이터베이스에서 요청을 받아서 처리하는 그런 목적이다 보니 거기에는 그런 룰이 적용이 안 돼 있었습니다.

그러다 보니 볼 수 있는 로그가 방화벽, 그러니까 인터넷으로 나가는 그 구간에 남아있는 최종적인 로그를 저희가 확인할 수밖에 없었고, 거기에 있는 남아있는 기간에 있는 로그가 아까 말씀드린 것처럼 장기간 보관하는 게 아니라 한 4~5개월에 걸치며 보관하고 있었기 때문에 앞쪽의 최초 시점하고 연결 짓는 로그가 부재하다고 말씀드릴 수 있을 것 같습니다. 그리...

<답변> (관계자) ***

<답변> (이동근 KISA 디지털위협대응본부장) 해커가 지운 거는 저희가 확인이 안 돼요. 왜, 방화벽 자체에다가 해커가 임의로 지우거나 그러면 저희가 흔적이 있는데 그런 건 확인되지 않았습니다.

그리고 해커가 누구인지 부분은 저희 조사단 입장에서는 좀 말씀드리기 어려운 부분이 있습니다. 결국 범인과 관련돼 있는 부분이기 때문에 이 부분은 수사기관에서 수사가 진행되는 부분이기 때문에 추후에 그 결과를 봐야지만 알 것 같습니다. 이상입니다.

<답변> (류제명 과기정통부 네트워크정책실장) 한 가지만, 우리 박 기자님 질의하신 것 중에 해커, 해커의 특정과, 특징과 관련돼서 북한 소행 그런 것 말씀하시면서 공공기관 점검이 그런 차원에서 이루어지냐는 질문하셨는데, 저희는 그런 공격자에 대한 그런 것들은 지금 수사기관과 또 그런 북한이나 테러, 국제테러 이런 것들은 정보기관에서 하실 거라고 생각이 들고요. 그런 차원하고는 전혀 관계없이 일반적으로 저희가 해커... 악성코드가 발견이 되면 백신사하고 일단 국정원, 국사단에, 국가위기관리...

<답변> (관계자) ***

<답변> (류제명 과기정통부 네트워크정책실장) 사이버위기관리단에 먼저 저희가 악성코드를 공유해서 백신을 빨리 만들게 하고, 그리고 저희 6,100개 아까 말씀드린 모든 채널에 그걸 뿌려서 동종의 침입이 있었는지를 즉시 확인해서 피해 확산을 막기 위한 겁니다. 그래서 그런 차원에서 이번에도 1·2·3차에 걸쳐서 그렇게 말씀을 드렸다는 거고요. 아까 해석하신 부분하고는 저희는 전혀 고려하지 않은 그런, 그동안에 해온 방식의 일환이었다는 말씀을 드리겠습니다.

<질문> 안녕하세요? 질문이 한 가지 있는데 오늘 유출됐던 여러 가지 정보의, 가능성이잖아요, 아직 유출된 건 아니고. 근데 만약에 이게 유출이 됐다고 하면 복제폰은 만들 수 없다고 해도 뒷단에서 통신사의 통화기록 감청 이런 게 이루어질 수 있는지, 또 그리고 일반인들이나 고위 공무원들 그리고 국가적인 차원에서 이런 통화나 민감성 정보가 나갈 수 있는 그런 가능성이 있는지 여쭤보고 싶습니다.

<답변> (류제명 과기정통부 네트워크정책실장) 감청 가능성, 이런 문제는 저희 조사단의 범위를 넘어섭니다. 그리고 저희가 여러 가지 가능성에 대비해서, 예컨대 우리 전자신문 기자님 질의하신 거하고도 비슷한 맥락인데 그동안에 해외에서 늘 있었던 여러 가지 사례들도 저희가 분석을... 같이 분석을 하면서 사업자 측에다가 여러 가지 경제적 또는 다른 목적의 여러 가지 위험성에 대한 판단을 하고 그런 부분에도 뭔가 대응이 필요하다는 저희가 요구는 한 상태인데요. 그 지점과 관련돼서 저희가 직접 과기정통부나 조사단이 확인해 드릴 부분은 지금 없다고 말씀드리겠습니다.

<질문> 제가 세 가지 여쭤보고 싶습니다. 그러니까 악성코드가 최초로 설치됐다는 시점이 2022년 6월 15일로 말씀하셨는데 이 공격을 SK텔레콤이 최초로 인지한 시점을 정확하게 언제로 봐야 되는지가 궁금하고요.

두 번째로, 사업자가 수행해야 할 다양한 보안 조치가 법률상에 정해져 있는 거로 알고 있는데 조사 과정에서 발견된 SK텔레콤의 보안 조치 미흡 사항이 있다면 같이 공유 부탁드리면 좋을 것 같습니다.

마지막으로, 1차 조사 결과와 비교해서 악성코드의 종류와 그리고 감염 서버의 대수도 증가했는데 소비자 입장에서는 내 유심정보의 복제가 높아진 건 아닌지, 이런 게 궁금할 것 같아서요. 그리고 이번에 추가 발견된 거로 위험성이 더 높아진 게 있는지, 개인정보의 악용 위험성은 증가한 게 있는지 이런 거 어떻게 평가하시는지 궁금합니다.

<답변> (최우혁 과기정통부 정보보호네트워크정책관) 첫 번째, 설치 지점이 6월 15일이라고 밝혔는데 SK가 인지한 거는 이번 사고가 나고 난 뒤에 본인들도 포렌식 하고 있는 상황에 있고요. 저희가 포렌식을 해서 정보를 공유하는 부분이 있습니다. 그러니까 사고 이후에 인지를 했다고 보시면 될 것 같습니다.

두 번째, 수행해야 할 보안 조치들이 미흡한 부분이 어떤 부분이 있냐 지적을 하셨는데, 물어보셨는데 이 부분은 조사단이 지금 심도 깊게 전체적인 체계, 그다음에 서버에 대한 분석 이런 것들을 진행하고 난 뒤에 저희가 재발 방지 대책을 수립하게 됩니다. 그때 발표가 될 것 같습니다.

악성코드가 증가하고 서버가 증가한 부분에 대해서 가능성에 대해서는 우리 부단장님께서 말씀을 드리겠습니다.

<답변> (이동근 KISA 디지털위협대응본부장) 추가로 발견된 악성코드들은 BPFDoor 계열입니다. 다 동일한 형태로, 계열로 확인이 됐고 1종 웹셸은 아까 제가 말씀을 드렸던 최초 침투 목적으로 서버에 감염을 시켰던 용도로 사용된 거로 돼 있고요.

지금 걱정하시는 유출돼 있는 개인정보라든지 이런 게 더 향후에 위험성으로 증가할 부분이 있는가에 대한 문의와 관련해서는 현시점에서는 지금 유출이 확인이 아직까지 안 된 게 맞습니다. 그런데 저희가 이렇게 국민들에게 알리는 위협은 혹시라도 있을 잠재적인 문제점에 대한 부분이고요. 그 부분은 개인정보 유출과 관련해서는 지금 개인정보보호위원회에서 면밀하게 살펴보고 있는 부분이고요. 국민분들도 이렇게 투명하게 알려드려야지 혹시 있을 모를... 혹시 모를 위험에 대해서 일단 대비할 수 있는 그런 계획이 되기 때문에 그 부분에 대해서 저희가 알려드리는 거고요.

현재 갑자기 이거로 인해서 위험도가 갑자기 확 늘었다, 라든지 그런 징후는 아직 보이고 있지는 않습니다.

<질문> 안녕하세요? 지금 말씀하신 것을 종합하면 복제폰, 즉 쌍둥이 폰을 만드는 것이 기술적으로 아예 불가능한 것인지, 즉 가능성이 아예 없는 일인지 혹은 기술적으로, 물리적으로 가능은 하지만 유심보호서비스를 활성화했을 경우 이것을 실질적으로 사용하는 것이 불가능하다는 뜻인지, 전자인지 후자인지가 궁금하고요.

만약에 복제폰이 있을 수 있지만 '유심보호서비스를 믿어 달라.', 이런 주장이라면 소비자 입장에서는 상당히 받아들이기 어려울 듯한데 이 위약금... 번호이동에 따른 위약금을 면제해달라는 소비자 요구는 과기정통부는 여전히 받아들일 수 없다는 입장인지, 이렇게 두 가지가 궁금합니다.

<답변> (류제명 과기정통부 네트워크정책실장) 복제폰에 대한 기술적 가능에 대해서는 이게 제조사가 이야기할 수 있는 부분을 저희가 확인한 바에 따르면 물리적으로 불가능합니다. 물리적으로 15자리 IMEI 값만 가지고는 제조사가 갖고 있는 단말별 인증키 값이 없이는 물리적인 복제가 불가능하다는 그런 판단이고, 저희는 제조사로부터 확인했다는 말씀을 드리겠고요.

그리고 이따가 사업자, SK텔레콤이 오후에 브리핑에서 설명을 하시겠지만 고도화 작업을 완료해서 지금 이제 적용하고 있는 그런 시스템하에서는 설사 만들어졌다 해도, 물리적으로 불가능하다는 판단입니다만 만들어졌다 해도 네트워크 접속은 완벽히 차단할 수 있다는 그런 기술적인 말씀은 드리겠고요.

위약금과 관련돼서 정부는 위약금 면제에 대한 판단을 한 번도 지금까지 하지 않고 있습니다. 그래서 저희가 그걸 안 듣고 있다는 말씀은 정확한 말씀은 아니시고요. 저희는 약관의 해석에 있어서 그런 회사의 귀책 사유가 위약금 면제에 해당하는지 그런 여부를 지난번에 말씀드린 대로 법률적 검토를 1차적으로 했고 또 지금 작업하고 있는 이런 조사단의 작업 결과를 종합해서 약관 해석을 우리가 어떻게 하는 것이 합당한지 판단을 그때 하겠다는 말씀을 처음부터 드렸고요. 그 입장에는 아직 변함이 없습니다. 다만, 그 부분에 대해서는 저희가 정확한 판단하에서 엄정하게 판단할 계획입니다.

<질문> 지금 발표자료 보면 1~3차 점검은 SK텔레콤이 그리고 4차 점검은 KISA와 같이 이루어졌다고 했는데 추가 감염된 서버는 몇 차수 조사에서 확인된 건지, 각 차수별 상세 점검내용 공유해 주시면 감사하겠고요.

그리고 로그 기록이 남아 있지 않은 기간의 자료 유출 여부가 현재까지 확인되지 않았다는 건 결국 유출 가능성을 배제할 수가 없다는 건데 정부 차원에서 이 기간 IMEI에 대응되는 고객에 대한 임시 조치를 SK텔레콤 측에 지시할 게 있는지 궁금합니다.

그리고 마지막으로 사고가 BPFDoor가 아닌 웹셸로 시작됐다면 사실 조사 방향도 달라지는 부분이 있을 것 같은데 이번 조사에서 추가 발견되면서 조사 방향에서 달라지는 부분이 있는지 설명해 주시면 감사하겠습니다.

<답변> (이동근 KISA 디지털위협대응본부장) 지금 식별된 23대의 서버 같은 경우에는 1~3차 사이에 발견된 부분이고요. 4차는 저희가 KISA 직원들을 일단 투입해서 직접 점검하는 과정 중에는 확인된 건 없습니다.

그리고 아까 말씀드린 웰셸 발견 이후의 조사 방향의 변화에 대해서는 아까 저희가 브리핑 자료에도 들어 있지만 단계가 1, 2단계로 나누어져 있습니다. 첫 번째는 BPFDoor의 어떤 위험성이라든지 이런 걸 감안해서 전체 리눅스 서버에 대한 집중적인 점검을 실시하였고요. 웹셸 이후에 혹시 나올 수 있는 여러 가지 가능성, 다른 악성코드라든지 다른 OS에도 있는 부분에 대해서는 2단계 방법을 통해서 접근할 계획입니다.

<답변> (최우혁 과기정통부 정보보호네트워크정책관) 제가 조사 과정을 약간 부연 설명을 드리면 직접적 비교는 힘들지만 저희가 여섯 차례 사전에 민관합동조사단을 갖다가 조사한 바가 있습니다. 그런데 망법상으로 저희가 조사의 범위를 갖다가 보시면 원인 분석, 피해 그다음에 재발방지 대책 이렇게 해서 특정 공격을 받은 서버 중심으로 저희가 조사를 보통은 합니다.

그런데 이번에 BPFDoor가 특성이 워낙 은밀성이... 은닉성이 강하기 때문에 저희가 이번에 한 거는 전체 SK 내에 있는 관련된 서버들을 갖다가 전수 조사를 하면서 아까 1, 2, 3차에서는 저희가 주는 스크립트를 가지고 SK가 돌리고 그다음에 거기에 대해서 저희가 다시 한번 확인하는 차원에서 4차를 직접 점검한 상황입니다. 그리고 앞으로도 여기에 대해서 혹시라도 웹셸과 같이 또 다른 가능성을 열어두고 5차를 지금 진행하고 있는 상황입니다. 그래서 철저하게 진행되고 있다, 라는 걸 한 번 더 말씀드린 겁니다.

<질문> ***

<답변> (류제명 과기정통부 네트워크정책실장) 아까 제가 말씀드린 바와 같이 IMEI가 노출됐기 때문에 그게 유출될 가능성에 대한 대비를 저희가 이 문제의 서버를 확인한 5월 11일 일요일이었는데요. 확인하자마자 바로 조치를 강구하라고 요구한 것이고요. 그 요구에 대한 반응으로 FDS 2.0에 대한 고도화 작업을 상당 기간 앞당겨서 적용한 걸로 저희는 이해하고 있습니다.

<질문> 아까 얘기 나온 것 중에 궁금한 게 있는데 IMEI가 저장됐던 로그 기록이 보니까 5개월 기간밖에 없더라고요. 그래서 아까 답변하실 때 임시 서버는 그런 기존의 법이 적용되지 않는다는 식으로 답변해 주셨는데, 그런데 여기서 보시면 유출 가능성이 어쨌든 있는 건데 왜 기존 법이 임시 서버 같은 데는 적용이 안 되는지 궁금하고요.

그리고 약간 좀, 대략적으로 얘기는 못 하시겠지만 약간 국가 단위의 해킹인 건지 약간 그렇게 보고 계시는지 대략적으로라도 설명해 주시면 감사하실 것 같고, 최종 조사 결과는 언제쯤으로 예상하고 계신지 궁금합니다.

<답변> (최우혁 과기정통부 정보보호네트워크정책관) 제가 2, 3번을 말씀드리고 첫 번째 거는 우리 부단장님께서 말씀드리겠습니다.

아까 실장님도 말씀드렸지만 공격주체에 대한 부분은 저희는 원인 조사에 대한 분석을 하고 있는 거고요. 경찰이 추적하는 부분이 있고 정보기관이 조사하는 부분이 있어서 여기에서 저희가 어떤 특정 주체 이런 이야기드리는 거는 타당하지 않은 것 같습니다.

그리고 조사는 아까 말씀드렸지만 저희가 국회에서 답변, 브리핑에서 답변하신 장관님 말씀도 있고, 저희가 조사를 최대한 신속히 추진합니다. 다만, 정밀하게 그리고 철저하게 조사한다는 원칙하에 조금 더 지연될 가능성도 있지만 최대한 6월 이내에 이런 부분은 해결해 나갈 거로 지금 목표를 잡고 있습니다.

<답변> (이동근 KISA 디지털위협대응본부장) 기자님 문의하신 왜 이 서버에는 로그를 그렇게 짧게 보관하지 않았냐는 부분과 관련해서는 일단 법적인 의무사항이 되는지의 부분은 개인정보보호위에서 판단할 것 같습니다. 일단 이렇게 임시 저장하는 부분에 대해서도 그런 게 가능한지 부분은 그쪽에서 판단할 부분이고요.

저희가 봤을 때는 일단 사업자 측에서는 그런 기준을 적용하지 않은 것 같습니다. 그러다 보니 로그가 4~5개월 정도밖에 보관이 안 돼 있던 걸로 저희가 판단하고 있습니다.

<질문> 저 앞서 질문 나온 것 같기도 한데 제가 좀 명확하게 여쭤보려고 다시 질문드리겠습니다. 청문회에서 통신사 대상 해킹은 CDR을 노린다는 얘기들이 많이 나왔는데요. 이번에 통화 기록 DB가 유출된 건지 아닌 건지 확인 부탁드리고요.

더불어서... 일단 그렇게 확인 부탁드리겠습니다.

<답변> (이동근 KISA 디지털위협대응본부장) 지금 저희가 조사 아직까지 진행되고 있지만 지금 관련된 부분에 대해서 아직 CDR와 관련된 데이터베이스가 해킹된 거는 저희가 지금 확인이 안 됐습니다. 그리고 지금 오늘 말씀드린 임시로 저장돼 있는 거기 IMEI도 있고 개인정보가 있었다는 부분도 저희가 데이터를 봤을 때 통화기록이 포함되어 있지는 않았습니다.

<질문> 확인이 안 됐다는 건 유출될 가능성이 없다, 라는 말씀이신 건가요?

<답변> (이동근 KISA 디지털위협대응본부장) 아닙니다. 저희가 아직 지금 조사가 완료된 게 아니라 아직 계속 보고 있는 상황이고요. 저희가 본 범위 내에서는 아직까지 CDR 데이터베이스 자체가 해킹됐다, 라든지 그런 거는 발견되지 않았습니다.

<질문> 그리고 죄송합니다만 아까 미처 못 했던 질문이 개인정보 유출된 게 암호화되어 있었는지 부분도 같이 말씀 부탁드리겠습니다.

<답변> (이동근 KISA 디지털위협대응본부장) 발견돼... 임시저장돼 있던 부분들은 다 평문으로 되어 있었습니다.

<답변> (최우혁 과기정통부 정보보호네트워크정책관) 그 부분은 개보위에서 아마 조사를 하고 난 뒤에 공식적으로 발표가 있을 것 같습니다.

<답변> (류제명 과기정통부 네트워크정책실장) 양해 말씀을 드리면 저희가 조사 과정에서 먼저 작업에 착수했고 또 강도 있는 조사를 하고 있기 때문에 아까 말씀드린 대로 개인정보가 포함된 사실도 저희가 먼저 지금 확인, 알게 되는 구조로 되어 있습니다. 근데 저희가 개인정보와 관련된 일체의 사항에 대해서는 저희가 눈으로 보고 확인한 사항을 저희가 언급하거나 확인해 드리는 거는 적절하지 않을 것 같고요.

저희는 다만 개보위의 조사 과정에서 이런 것들이 발견되면 알려드리고, 또 조사가 별도로 독립적으로 이루어지고 있기 때문에 보다 신속한 조사가 이루어질 수 있도록 저희가 확보한 서버를, 또 법적으로도 논란이 있기 때문에 저희가 직접 전달은 못하는 상황이어서 사업자 동의를 얻어서 최대한 시간 지체 없이 확보된 서버들을 공유할 수 있는 그런 정도, 같이 이렇게 협의... 협조를 하고 있다는 말씀만 드리겠습니다.

그래서 저희 조사단이나 저희 입장에서는 개인정보와 관련된 일체의 저희 언급은 저희가 할 수 있는 부분이 아니라는 점을 양해해 주시면 감사하겠습니다.

<질문> ***

<답변> (이동근 KISA 디지털위협대응본부장) 기자님 문의하신 그 두 서버는 다른 서버입니다. 앞서 브리핑 때도 언급이 있었지만 임시값, 9.82GB가 자료가 유출된, 지금 기자님 말씀하신 그 서버하고 지금 저희가 IMEI하고 개인정보가 있었... 임시저장되어 있던 서버는 다른 서버입니다.

<질문> ***

<답변> (이동근 KISA 디지털위협대응본부장) 아닙니다. 그 연동이라는 말은 가입자 정보가 있는 서버 앞쪽에서 어떤 고객이나 아니면 관련된 요청을 처리하는 그런 서버를 말씀드리는 겁니다.

<질문> ***

<답변> (이동근 KISA 디지털위협대응본부장) 이반티 관련해서는 저희가 지금 조사를, 현재까지 저희가 조사한 부분에서는 일단 특이점은 지금 발견되고 있지 않습니다.

그리고 두 번째 질문하신 건 제가 정확하게 못 들어서,

<질문> ***

<답변> (이동근 KISA 디지털위협대응본부장) 일단 지금 말씀드린 것처럼 초기 2022년 6월까지 거슬러 올라가는 지점이 있기 때문에 일단 장기간 활동이 있었던 거로 보이고, 하지만 전반적인 침투 시점, 경로는 저희가 조사를 전반적으로 마치는 시점에 종합적인 검토를 통해서 판단을 해봐야 될 것 같습니다.

<답변> (류제명 과기정통부 네트워크정책실장) 이 부분 잠깐, 여러, 저희들도 조사반 외에도 다양한 보안 전문가들하고도 지금 계속 자문을 구하면서 저희가 방향을 잡고 또 해 나가고 있는데요. 이 BPFDoor 악성코드 자체의 특성들이 굉장히 복잡한 것 같습니다. 이게 자료 탈취의 목적인지 다른 목적인지, 그리고 또 다른 목적이라면 여기에 남아 있는 서버의 악성코드가 그 안에 있는 서버에 관심 있어서 들어온 건지, 아니면 그다음 단계의 공격 거점으로 지켜보다가 더 깊숙한 데로 침투하기 위한 그런 거점 역할을 하는지, 이런 것들이 굉장히 시나리오가 다양하고 목표가 다양해서 저희가 일반적으로, 예를 들어서 상업적인 목적이나 경제적인 목적으로 했을 때 그 특정 데이터베이스를 타깃으로 해서 탈취를 하고 다크웹 같은 데서 거래를 시도하고 이런 것들하고는 양상이 달라서 과연 발견된 서버들에 들어온 목적이 뭘까? 이런 것들도 지금 면밀하게 보고 있다는 점 말씀을 드리겠습니다.

<질문> 안녕하세요? 기술적인 이야기는 충분히 나온 것 같아서 이건 류제명 실장님이 답변해 주시는 게 좋을 것 같은데, 조사단 조사는 6월 말까지 하신다고 하셨는데 그러면 SKT는 이 기간까지 신규 가입을 못 하게 되는 건지, 아니면 신규 가입 중단 기간은 유심 수급 상황과 연계된 건지 그걸 여쭤보고 싶습니다.

<답변> (류제명 과기정통부 네트워크정책실장) 지금 저희가 신규 가입과 관련돼서는 처음부터 일관되게 원칙은 유심 교체를 원하는 기존 가입자의 이익이 가장 우선돼야 된다는 판단입니다. 유심 물량이 부족한 상황에서 기존 유심 가입자의 대기 상태, 또 바꾸려는 수요가 있는데 그 물량이 다른 곳에, 신규 가입에 사용된다는 거는 허용될 수 없다는 입장이고요, 허용돼서는 안 된다는 입장인 것이고요. 그 부분은 사업자도 충분히 공감을 하고 있다고 생각됩니다.

그래서 이게 다양한 변수들, 다양한 상황들 종합적으로 고려해서, 그렇지만 가장 중요한 건 기존 가입자들의 유심 교체 수요가 어떻게 지금 충족이 되고 있는지, 그거에 대한 판단에 따라서 결정할 문제이지, 다른 요소는 전혀 고려하지 않고 있습니다.

<답변> (사회자) 긴 시간 감사합니다. 이제 브리핑을 마치도록 하겠습니다.

<답변> (류제명 과기정통부 네트워크정책실장) 감사합니다.

<끝>

이전다음기사

다음기사국방부 일일 정례 브리핑