SKT는 2025년 4월에 공지사항을 통해 악성코드 감염으로 인해 고객 다수의 유심 정보가 유출됐다고 했으며 이는 해킹으로 인한 사고라고 알렸습니다. 관련하여 많은 사용자들이 혼란이 빠졌었으며 대응 또한 부실하여 국민적 공분을 일으켰던 사건이였고 여전히 현재진행형인 사태에 대한 대략적인 조사 결과가 발표됐습니다.
SKT 유심 정보 유출 사고, 어떻게 시작되었나?
2022년 6월 15일, SK텔레콤의 가입자 인증 서버(HSS)에 악성코드가 심어진 것으로 확인되었습니다. 이 악성코드는 'BPF도어(BPFDoor)'로, 리눅스 기반의 고도화된 백도어 프로그램입니다. 이로 인해 SK텔레콤의 서버 23대가 감염되었고, 총 25종의 악성코드가 발견되었습니다. 이 중 24종은 BPF도어 계열로 확인되었습니다.
해커들은 이 악성코드를 통해 SK텔레콤의 유심 정보 약 9.86GB를 외부로 유출시켰습니다. 유출된 정보에는 가입자식별키(IMSI) 약 2,690만 건, 단말기식별번호(IMEI), 유심 인증 키(Ki) 등이 포함되어 있습니다.
이러한 정보는 해커가 유심을 복제하거나 사용자의 통신망을 조작하는 데 사용될 수 있습니다. 즉, 해커가 피해자의 전화번호와 휴대폰을 '가짜로 복사'하여 피해자인 척 행동할 수 있는 상황이 됩니다.
SK텔레콤은 해킹 정황을 인지한 직후 악성코드를 삭제하고, 감염된 장비를 격리하는 등의 조치를 취했습니다. 또한, 한국인터넷진흥원(KISA) 및 개인정보보호위원회에 신고하는 등 법적 절차를 이행했습니다.
중국 해커 조직 '레드 멘션', 어떻게 개입했나?
이번 SKT 유심 정보 유출 사고 사건의 배후로 지목된 조직은 중국의 사이버 해커 그룹 '레드 멘션(Red Menshen)'입니다. 이 조직은 과거에도 아시아 및 중동의 통신사, 군사시설을 대상으로 한 사이버 공격 전력이 있으며, 이번 사건에서도 유사한 수법이 발견되었습니다.
특히 사용된 'BPF도어'는 레드 멘션이 과거 이란 통신 인프라를 공격할 때 활용한 악성코드와 코드 구조, 명령 전송 방식이 거의 동일합니다. 또한, 공격에 활용된 명령제어(C2) 서버가 중국 산둥성 및 저장성 지역에서 운영된 것으로 확인되어 단순 범죄조직이 아닌 국가 차원의 조직적 개입 가능성에 무게가 실리고 있습니다.
해커들은 시스템 로그 삭제와 시간대 조작 등을 통해 침투 사실을 은폐했으며, 이로 인해 사태의 전모는 2025년에 들어서야 수면 위로 드러나게 되었습니다. 정부는 이에 따라 사이버안보위원회를 열고, 중국 정부에 공식 항의문을 전달하였으며, 국제 공조 수사도 착수했습니다.
유심 정보 9.86GB 유출… 피해자 보호는?
이번 SKT 유심 정보 유출 사고 사건으로 유출된 데이터는 단순한 이름, 주소 수준이 아닙니다. 가입자식별키(IMSI), 단말기식별번호(IMEI), 유심 인증 키(Ki) 등 통신 인증과 단말기 식별에 필수적인 민감 정보가 포함되어 있습니다.
이러한 정보는 해커가 유심을 복제하거나 사용자의 통신망을 조작하는 데 사용될 수 있으며, 보이스피싱, 위치 추적, 통화 도청 등 다양한 방식으로 악용될 수 있습니다. 특히 유심 정보는 모바일 인증에 활용되는 핵심 식별 수단이기 때문에, 유출 시 금융사기 피해로 직결될 수 있습니다.
SK텔레콤은 모든 고객에게 보안 경고 문자를 발송하고, 2025년 4월 28일부터 유심 무상 교체를 실시하고 있으며 4월 19일부터 27일 사이에 자비로 유심을 교체한 고객에게는 요금 감액 등의 방법으로 환급이 이루어질 예정입니다.
또한, SK텔레콤은 유심 보호 서비스 무상 가입 확대를 시행하고 있으며, 디지털 취약계층을 우선적으로 자동 가입시키고 있습니다.
현재 유심 보호 서비스에 가입한 이용자는 1,442만 명이며, 미가입자 850만 명에 대해 순차적으로 자동 가입을 진행 중입니다.
고객은 스마트폰에 설치된 이상 앱을 삭제하고, 통신사 앱에서 실시간 통화로그 확인 및 의심 통화 이력 조회를 수시로 진행하는 것이 바람직합니다. 추가로, 금융 앱의 2차 인증(지문, 비밀번호)을 설정하고, SMS 인증 외의 인증 방식(예: 생체 인증)을 추가하는 등 개인 대응도 병행되어야 합니다.
정리하며 : SKT 유심 정보 유출 사태가 남긴 과제
이번 SKT 유심 정보 유출 사건은 단순한 보안 사고가 아닌, 국가 통신 인프라의 치명적 취약성을 드러낸 사례입니다. 중국발 해커 조직이 3년에 걸쳐 SK텔레콤 내부망에 잠입했으며, 고급 백도어 프로그램 'BPF도어'를 이용해 탐지를 회피하며 거대한 유심 데이터베이스를 외부로 유출했다는 사실은 충격적입니다.
무엇보다 국가 기간망을 상대로 한 사이버 침투가 실시간으로 감지되지 않았다는 점은 사이버 보안 인프라 자체의 근본적 재설계를 요구하고 있습니다. 통신사들은 이제 외부 해킹보다 내부 데이터 흐름에 대한 상시 감시, 실시간 로그 검증, 자동화된 침입 탐지 기술 등 고도화된 대응체계를 도입해야 합니다. 정부 또한 통신사 보안 규제를 강화하고, 침해사고 발생 시 실시간 보고 및 공동대응 체계를 법제화해야 합니다.
고객 역시 통신사에 전적으로 의존하지 않고, 자신의 개인정보를 적극적으로 점검하고 관리해야 합니다. 스마트폰 백신 최신화, 통신사 앱으로 실시간 통화로그 확인, 의심 문자 신고 등 개인 대응도 병행되어야 합니다. 중국 해커의 소행으로 밝혀진 이번 SKT 유심 정보 유출 사태는 대한민국이 사이버전 시대에 얼마나 준비가 되어 있는지를 드러내는 리트머스 시험지였습니다. 향후 유사 사건을 막기 위해서는 공공-민간-개인의 협업을 통한 보안 생태계 강화가 절실합니다.