SKT유심 해킹사태 원인과 예상되는 피해, 사용자가 취할 조치는?
2025년 4월, SK텔레콤의 유심 정보가 해킹되어 대규모 개인 정보 유출 사태가 발생했습니다. 이 사건은 국내 최대 통신사의 보안 시스템이 뚫린 초유의 사례로, 수많은 가입자의 개인 정보가 유출되어 사회적 파장이 컸습니다.
이 글에서는 이 사건의 개요, 원인과 경과, 피해자와 사회적 영향, SK텔레콤과 정부의 대응 방안, 그리고 사용자가 취해야 할 조치에 대해 자세히 살펴보겠습니다.
목차 |
1. SKT유심 해킹 사태 개요
1.1. 사건 발생 일시 및 발견
2025년 4월 19일 오후 11시경, SK텔레콤은 자사의 홈 가입자 서버(HSS)에서 악성 코드를 발견했습니다. 이 악성 코드는 해커에 의해 설치된 것으로, 가입자의 유심 관련 정보가 유출될 수 있는 상황이었습니다.
SK텔레콤은 즉시 해당 사실을 파악하고, 4월 20일 한국인터넷진흥원(KISA)에 침해 사고를 신고했습니다. 이후 4월 22일, SK텔레콤은 공식적으로 유심 정보 유출 가능성을 발표하며 고객들에게 상황을 알렸습니다.
초기에는 유출 규모와 정확한 정보 항목이 불분명했으나, SK텔레콤은 신속히 악성 코드를 삭제하고 의심 장비를 격리하는 조치를 취했습니다. 이 사건은 SK텔레콤의 보안 체계에 대한 신뢰를 흔드는 계기가 되었으며, 빠른 대응에도 불구하고 고객들의 불안은 커져갔습니다.
- 발생 일시: 2025년 4월 19일 오후 11시
- 신고: 2025년 4월 20일, KISA
- 공식 발표: 2025년 4월 22일
- 초기 조치: 악성 코드 삭제, 의심 장비 격리
1.2. 유출된 정보의 종류
민관합동조사단의 1차 조사 결과에 따르면, 유출된 정보는 가입자의 전화번호, 국제 모바일 가입자 식별자(IMSI), USIM 클로닝에 사용될 수 있는 4종의 정보, 그리고 SK텔레콤의 내부 관리 정보 21종입니다. 다행히 단말기 고유 식별 번호인 IMEI는 유출되지 않았습니다.
유출된 데이터의 총량은 9.7GB로, 이는 SK텔레콤의 약 2,300만 가입자(및 알뜰폰 가입자 약 187만 명) 중 일부에 해당할 것으로 추정됩니다. 가입자 정보가 분산 저장된 구조로 인해 전체 가입자가 아닌 일부만 영향을 받았을 가능성이 있습니다. 그러나, USIM 클로닝을 통한 2차 피해 가능성은 여전히 큰 우려로 남아 있습니다.
- 유출 정보: 전화번호, IMSI, USIM 클로닝 가능 4종 정보, SKT 내부 관리 정보 21종
- 비유출 정보: IMEI
- 데이터량: 9.7GB
- 잠재적 영향: 약 2,300만 가입자 및 알뜰폰 187만 명 중 일부
2. 해킹 사태의 원인과 경과
2.1. 해킹 원인: BPFDoor 악성 코드
이번 해킹 사건의 주요 원인은 BPFDoor라는 리눅스 기반 백도어 악성 코드입니다. BPFDoor는 2021년 PWC의 위협 보고서를 통해 처음 알려진 악성 코드로, 주로 중국 기반 해킹 그룹인 레드멘션(Red Menshen)과 연관되었으나, 소스 코드가 오픈 소스로 공개되어 있어 공격자를 특정하기 어렵습니다.
이 악성 코드는 은닉성이 높아 탐지가 어렵고, 평소에는 정상 시스템 프로그램처럼 위장하여 특정 신호(매직 패킷)를 받을 때만 활동을 시작합니다. 보안 전문가들은 초기 침투가 피싱 이메일이나 웹 서버 취약점을 통해 이루어졌을 가능성을 제기했습니다.
- 악성 코드: BPFDoor (리눅스 기반 백도어)
- 특징: 은닉성 높음, 매직 패킷으로 활성화
- 공격자: 레드멘션 의심, 오픈 소스로 인해 특정 어려움
- 침투 경로: 피싱 이메일, 웹 서버 취약점 추정
2.2. 사건 경과
해킹 사건은 다음과 같은 순서로 진행되었습니다. 2025년 4월 19일 오후 11시경, SK텔레콤은 자사 홈 가입자 서버(HSS)에서 악성 코드의 존재를 확인하고 즉시 대응에 나섰습니다. 4월 20일, SK텔레콤은 KISA에 침해 사고를 신고했으며, 4월 22일 공식적으로 유심 정보 유출 가능성을 발표했습니다.
이후 BPFDoor 악성 코드가 사용된 것으로 확인되었고, 4월 29일 민관합동조사단은 1차 조사 결과를 발표하며 유출된 정보의 종류와 규모를 공개했습니다. 이 과정에서 SK텔레콤은 악성 코드를 제거하고 시스템 점검을 강화했으나, 초기 대응의 투명성 부족과 보안 투자 감소에 대한 비판이 제기되었습니다.
- 4월 19일: 악성 코드 확인
- 4월 20일: KISA 신고
- 4월 22일: 공식 발표
- 4월 29일: 민관합동조사단 1차 조사 결과 발표
3. 피해자와 사회적 영향
3.1. 피해자
SK텔레콤의 가입자 약 2,300만 명이 이번 해킹 사건의 잠재적 피해자로 간주됩니다. 유출된 데이터는 9.7GB로, 이는 SK텔레콤 가입자 및 알뜰폰 사용자 약 187만 명 중 일부에 해당할 것으로 추정됩니다.
유출된 정보에는 전화번호와 IMSI 등이 포함되어 있어, SIM 클로닝을 통한 명의 도용, 금융 사기, 불법 전화 개설 등의 위험이 존재합니다. 현재까지 대규모 피해 사례는 확인되지 않았으나, 잠재적 위험은 여전히 큽니다.
- 잠재적 피해자: 약 2,300만 명
- 유출 데이터: 9.7GB
- 위험: SIM 클로닝, 명의 도용, 금융 사기
- 보고된 피해: 현재까지 대규모 피해 사례 미확인
*60대 남성이 5,000만원의 피해를 입은 것으로 알려져 있으나, 스미싱 피해로 밝혀짐
3.2. 사회적 영향
이번 사건은 SK텔레콤의 신뢰도에 큰 타격을 주었습니다. 사건 직후 가입자 이탈이 급증했으며, 4월 26일 하루에만 1,665명이 다른 통신사로 번호 이동을 했습니다. 4월 28일에는 34,132명이 SK텔레콤을 떠났으며, 순손실은 25,403명에 달했습니다.
이는 평소 대비 15~20배 높은 수치로, SK텔레콤의 평소 일일 이탈자 수가 200명 안팎임을 고려할 때 이례적인 규모입니다. 또한, 피해자들을 중심으로 집단 소송이 준비되고 있으며, 4월 28일 기준 20,000명 이상이 참여 의사를 밝혔습니다.
금융권에서는 SMS 인증을 중단하거나 모니터링을 강화하는 등 대응에 나섰고, 정부와 공공기관은 개인 휴대폰의 업무 사용을 금지하는 조치를 취했습니다. 이 사건은 통신사의 보안 책임과 개인 정보 보호의 중요성을 다시금 부각시켰습니다.
- 가입자 이탈: 4월 26일 1,665명, 4월 28일 34,132명(순손실 25,403명)
- 집단 소송: 준비 중, 20,000명 이상 참여
- 금융권 조치: SMS 인증 중단, 모니터링 강화
- 공공기관 조치: 개인 휴대폰 업무 사용 금지
4. SKT와 정부의 대응 방안
4.1. SKT의 대응
SK텔레콤은 사건 발생 후 신속히 대응에 나섰습니다. 4월 28일부터 전 고객 약 2,300만 명을 대상으로 유심 무료 교체를 시작했으며, 4월 29일까지 40만 장이 교체되고 539만 장이 예약되었습니다. 또한, 유심 보호 서비스를 무료로 제공하며, 4월 29일 기준 1,000만 명이 가입했습니다.
이 서비스는 무단 기기에서 유심 사용을 차단하고 해외에서의 부정 사용을 방지합니다. SK텔레콤은 사기 탐지 시스템(FDS)을 최고 수준으로 강화하고, 실시간 모니터링을 확대했습니다. 4월 19일부터 27일까지 자비로 유심을 교체한 고객에게도 비용을 환급하며, 알뜰폰 사용자도 무료 교체 대상에 포함시켰습니다. 그러나, 초기 소통 부족과 유심 교체 과정에서의 혼선에 대한 비판도 있었습니다.
- 유심 교체: 4월 28일 시작, 40만 장 교체, 539만 장 예약
- 유심 보호 서비스: 1,000만 명 가입, 무료 제공
- FDS 강화: 최고 수준, 실시간 모니터링 확대
- 환급: 4월 19~27일 자비 교체 고객 대상
*현재 유심 교체에 많은 분들이 어려움을 겪고 있으며, SKT신규 가입자는 유심을 받을 수 있지만 기존 가입자는 유심 물량이 부족하다는 비판을 받고 있습니다.
4.2. 정부의 대응
정부는 이번 사건을 심각하게 받아들이고 민관합동조사단을 구성해 원인 규명과 피해 규모 파악에 나섰습니다. 4월 20일 KISA에 신고된 이후, 과학기술정보통신부는 조사단을 통해 4월 29일 1차 조사 결과를 발표했습니다.
또한, 대통령 권한대행은 4월 27일 유심 보호와 교체 상황을 철저히 점검하고, 관련 기관에 사이버 보안 강화를 지시했습니다. KISA는 4월 25일 BPFDoor 관련 악성 코드 정보를 공개하며 기업과 기관에 보안 점검을 당부했습니다.
경찰은 4월 30일 수사를 확대하며, 특히 부산 피해 사례를 중심으로 조사를 진행 중입니다. 정부는 이번 사건을 계기로 통신사의 보안 투자와 보고 체계를 강화할 방침입니다.
- 조사단 구성: 민관합동조사단, 4월 29일 1차 결과 발표
- KISA 조치: 4월 25일 악성 코드 정보 공개
- 대통령 권한대행 지시: 4월 27일, 보안 강화
- 경찰 수사: 4월 30일 확대, 부산 피해 사례 중심
5. 사용자가 취해야 할 조치
이번 SKT 유심 해킹 사태는 개인 정보 보호의 중요성을 강조하며, 사용자가 적극적으로 자신의 정보를 보호해야 할 필요성을 보여줍니다. 아래에서는 유심 교체와 유심 보호 서비스 외에 사용자가 취할 수 있는 추가 조치, 주의해야 할 증상, eSIM 발행의 예방 효과, 알뜰폰 사용자에 대한 영향, 그리고 은행 계좌 보호를 위한 조치 방법을 간단하게 조사했습니다.
5.1. 유심 교체
SK텔레콤은 2025년 4월 28일부터 T월드 매장과 공항 로밍센터에서 무료 유심 교체를 제공합니다. 온라인 예약을 권장하며, 키즈폰과 스마트워치는 교체 대상에서 제외됩니다. 재고는 100만 장을 확보했으며, 5월 말까지 500만 장을 추가로 확보할 예정입니다.
알뜰폰 사용자도 무료 교체가 가능하나, 해당 업체의 정책을 확인해야 합니다. 유심 교체는 SIM 클로닝 예방에 효과적인 방법입니다.
5.2. 유심 보호 서비스 가입
유심 보호 서비스는 무단 유심 사용을 차단하는 무료 서비스입니다. 4월 29일 기준으로 약 1,000만 명(약 40%)이 이 서비스에 가입했습니다. T월드 앱, 웹사이트, 고객센터(114), 또는 매장에서 신청할 수 있습니다. 로밍 제한 문제는 5월 중에 개선될 예정입니다. 이 서비스는 SIM 클로닝 피해 예방에 유용합니다.
5.3. 유심 비밀번호 변경
유심 기본 비밀번호는 즉시 변경하는 것이 좋습니다. 안드로이드와 아이폰 설정에서 PIN을 설정할 수 있습니다. 비밀번호를 3회 잘못 입력하면 PUK 코드가 필요할 수 있습니다. 또한, 10회 오류 시 유심이 영구적으로 잠기므로 주의해야 합니다. 서버 유출로 완벽한 보호가 어렵기 때문에 다른 조치와 병행하는 것을 권장합니다.
5.4. SKT내 번호이동 및 KT/LG U+로의 통신사 이동
SKT 내에서 번호를 유지하며 다른 SKT 유심으로 이동(번호이동)하거나, KT나 LG U+로 통신사를 변경하는 것도 고려할 수 있습니다. SKT 내 번호이동은 기존 유심을 새 유심으로 교체하는 것과 유사한 효과를 가지며, 유출된 정보를 무효화할 가능성이 있습니다.
그러나, 이번 유심 해킹 사태는 서버 수준의 해킹이므로 새 유심도 완전히 안전하다고 장담할 수 없습니다. 그래서 많은 분들이 통신사를 변경하고 있는데요. SKT 서버와 무관한 KT나 LG U+로 통신사를 변경하여 근본 원인을 차단하는 분들이 늘고 있습니다.
5.5. eSIM 발행을 통한 예방
eSIM은 도난과 복제가 어려운 디지털 SIM입니다. 4월 28일부터 T월드 매장 및 공항 로밍센터에서 eSIM을 무료로 제공합니다. T Direct Shop에서 셀프 가입이 가능하나, 매장에서 교체하는 것이 권장됩니다.
공식 QR 코드를 사용하고, 소프트웨어 업데이트를 반드시 진행해야 합니다. eSIM은 유출된 USIM을 무효화하는 데 효과적입니다.
5.6. 알뜰폰(MVNO) 사용자 조치
SKT 네트워크를 사용하는 알뜰폰 사용자 187만 명도 위험에 노출되어 있습니다. 알뜰폰 사용자도 무료 유심 교체 및 보호 서비스를 제공받을 수 있습니다. 4월 29일 기준으로 약 40만 명이 보호 서비스에 가입했습니다. MVNO 업체를 통해 신청하며, 명의도용방지서비스 설정이 권장됩니다. SKT 사용자와 동일한 조치가 필요합니다.
5.7. 은행 계좌 보호
SMS 우회 및 피싱 위험이 있으므로 은행 거래 내역을 확인해야 합니다. 앱 기반 2FA 설정과 비밀번호 변경은 필수입니다. 은행을 사칭하는 문자에 주의하고, 필요 시 신용 동결을 요청할 수 있습니다. 명의도용방지서비스 가입자가 급증하여 접속 지연이 발생하고 있습니다.
5.8. 의심스러운 활동 모니터링
메시지, 통화, 계정 활동을 확인하여 이상 징후를 감지해야 합니다. 서비스 중단, 알 수 없는 문자나 통화, 비인가 로그인은 이상 징후의 예입니다. 유심 교체를 사칭하는 피싱 문자에 주의해야 합니다. 이상이 발견되면 고객센터(114)나 경찰에 신고하는 것이 좋습니다. 정보보호 알리미 서비스에 가입하는 것도 권장됩니다.
이번 SKT유심 해킹 사태는 대형 통신사일수록 보안에 대한 투자를 아끼지 말아야 한다는 점을 일깨웠습니다. SK텔레콤과 정부는 이번 사건을 계기로 보안 시스템을 강화하고, 유사한 사고가 재발하지 않도록 노력해야 할 것입니다.
또한, 사용자들은 유심 교체, 보호 서비스 가입, 비밀번호 변경, 의심스러운 활동 모니터링을 통해 스스로를 보호하는 것이 중요합니다. 이번 사건은 기업과 개인 모두가 사이버 보안에 대한 경각심을 높이는 계기가 되어야 합니다.
댓글