SKT黑客攻击早在3年前就已开始…政府首次提出克隆手机可能性

在SK电信USIM（用户身份识别模块）被黑客入侵事件发生一个月后，政府首次提出了出现“克隆手机”可能性的说法。此前政府和SK电信方面一直表示，即使USIM信息被泄露，由于终端设备的国际移动设备识别码（IMEI）未被窃取，因此无法制作克隆手机；但这一次，政府正式提及IMEI有对外泄露的可能性。此前一再强调仅依靠USIM保护服务即可避免用户受害的SK电信，预计今后也将更加重视更换USIM的应对方案。

在被黑服务器中确认29万条IMEI

19日，在首尔钟路区政府首尔大厦，科学技术信息通信部信息保护网络政策官 Choi Uhyuk 就SKT侵害事故相关的第二次民官联合调查结果进行发布会简报。联合通讯社供图

政府与民间联合调查团19日通过发布与SK电信侵害事故相关的第二次调查结果表示，用于客户认证的部分服务器感染了恶意代码，在相关服务器中临时存储了IMEI、姓名、电话号码等个人信息。

联合调查结果显示，该服务器自3年前起长期感染恶意代码。调查结果表明，在目前仍留有日志（使用痕迹）记录的期间，即从2024年12月3日至黑客入侵后不久的今年4月24日，并未发现对外泄露的痕迹。但在此之前，从2022年6月15日至去年12月2日，约一年半时间内连日志记录都不存在，因此无法排除IMEI被泄露的可能性。科学技术信息通信部一名高层相关人士表示：“在保留通信日志的期间，可以判断没有泄露，但在此之前的情况则不得而知”，“相当于新确认了存在泄露风险的可能性。”

IMEI是赋予终端设备的唯一识别号码，相当于每部手机的“居民身份证号”，是生成克隆手机的核心钥匙，属于高度敏感信息。要制作克隆手机，除IMEI外，还需要用户识别码（IMSI）以及被克隆的USIM。IMSI和USIM信息在上月底公布的第一次调查结果中已被证实发生泄露。此次第二次调查结果又提出IMEI存在泄露可能，引发了利用克隆手机实施“SIM调包诈骗（利用黑客窃取的信息复制USIM并插入其他手机实施违法行为的手法）”等金融诈骗有可能成为现实的忧虑。

新增18台感染服务器……预计6月完成调查

在第二次调查中，新增确认感染恶意代码的服务器共18台。其中，与SK电信的综合客户认证系统联动的服务器问题最为突出，因为在对客户终端进行认证的过程中，包括IMEI在内的关键信息会在一定期间内以临时方式存储在该服务器中。在该服务器中共发现了包含291,831条IMEI的文件。

政府与民间联合调查团在上月的第一次发布中曾明确表示“IMEI未发生泄露”。但本次调查则提出了IMEI存在泄露可能性的结论。科学技术信息通信部相关人士解释称：“第一次调查时，我们锁定了存储IMEI的38台服务器并紧急检查，由于这些服务器未被感染，因此可以下结论称‘不存在泄露’”，“但这一次在对约3万台服务器进行全面排查的过程中，又追加确认了在服务过程中临时存储IMEI的服务器。”