과기부 “실제로 복제폰 만들려면 더 많은 정보 필요”

SK텔레콤 서버가 악성코드에 감염돼 유출된 정보 중 단말기 고유식별번호(IMEI)가 포함됐을 수도 있다는 가능성이 제시된 가운데, 정부는 세간의 우려처럼 복제폰 악용 우려는 기술적으로 낮다는 입장을 내놨다.

19일 과학기술정보통신부에 따르면 민관합동조사단 조사 결과 추가로 감염이 확인된 서버에는 IMEI와 이름·생년월일·전화번호·이메일 등 가입자가 가입할 때 통신사에 제공하는 개인정보가 포함됐는데, 로그기록상 실제 유출 여부가 확인되지 않았고 유심 복제를 위해선 더 많은 정보가 필요하기 때문이다.

조사단에 따르면 감염된 서버에 있던 29만1831건의 IMEI는 지난해 12월 3일부터 올해 4월 24일까지는 유출되지 않은 것으로 확인됐지만, 최초 악성코드 설치 시점인 2022년 6월 15일부터 2024년 12월 2일까지는 로그기록이 남아 있지 않아 유출 여부가 불확실한 상황이다. 따라서 이 기간의 정보 유출 여부는 향후 정밀 포렌식 작업을 거쳐야 한다.

이에 확인할 수 없는 시점에 IMEI까지 유출됐다면 유심을 복제해 다른 스마트폰에 꽂는 ‘심스와핑’ 등 피해 위험성이 커질 우려가 있다. 과기정통부는 지난달 29일 1차 발표 당시 IMEI 유출은 확인되지 않아 복제폰 우려는 없다고 밝힌 바 있다.

다만, 과기정통부는 실제로 IMEI가 유출됐더라도 복제폰 우려는 낮다고 설명했다. 이날 정부서울청사에서 열린 브리핑에서 류제명 과기정통부 네트워크정책실장은 “15자리 숫자로 이뤄진 IMEI 값만 갖고는 제조사가 가진 단말기별 인증키 없이 복제폰은 물리적으로 불가능하다”며 “만들어졌다 해도 네트워크 접속 자체를 완벽하게 차단할 수 있다”고 설명했다. 또, IMEI가 유출됐을 때 나타날 수 있는 피해가 아직 발생하지 않았다는 게 정부 입장이다.

한편, IMEI가 저장됐던 서버에 가입자의 개인정보도 다량 저장돼 있던 점과 관련해 정부는 개인정보보호위원회의 정밀 조사가 필요한 사항이라 보고 지난 13일 개인정보위에 해당 사실과 함께 서버 자료를 공유했다. 류 실장은 “(개인정보 건은) 조사가 별도로 이뤄지고 있다”며 “개인정보와 관련된 사항은 언급하기 어렵다”고 말했다.

이에 대해 SK텔레콤 측은 “(개인정보 임시 보관 서버에) 악성코드가 발견됐지만, 개인정보는 외부에 유출되지 않은 것으로 파악하고 있다”며 “2차 피해 방지와 고객 보호를 위해 만전을 다하겠다”고 말했다.

구혁 기자, 김성훈 기자