SKT 유심 해킹 사태 완전 정리. 나는 안전한가? 지금 당장 해야 할 것.

 

 

 

SECURITY ALERT

SKT 유심 해킹 사태 완전 정리
나는 안전한가? 지금 당장 해야 할 것

2025년 발생 · 2026년 현재도 진행 중인 통신 보안 이슈

2025년 4월, 대한민국 통신 역사상 최대 규모의 개인정보 유출 사고가 터졌습니다. SK텔레콤(SKT)의 핵심 서버가 해킹당하면서 약 2,500만 명 이상의 유심(USIM) 정보가 유출된 것입니다. 국민 절반에 해당하는 숫자입니다. 사태 발생 1년이 지난 지금도 KT, LG U+ 추가 해킹 피해가 밝혀지며 통신 보안에 대한 국민적 불안은 여전합니다.

SKT 해킹 사태는 2025년 6월 대선 일정과 정확히 겹치면서 단순한 보안 사고를 훨씬 넘어서는 사회적 파장을 불러왔습니다. 그리고 최근 9회 전국동시지방선거를 압둔 시점에 다시 이슈가 되고 있습니다.

이 포스팅에서는 사건의 전말부터 기술적 원인, 실제 위험 수위, 그리고 지금 당장 취해야 할 조치까지 한 번에 정리합니다.

📋 목차

1. 사건 개요 — 무슨 일이 있었나
2. 해킹 원인 — BPFDoor 악성코드란?
3. 유출된 정보의 종류와 실제 위험 수위
4. SKT의 대응 및 문제점
5. KT·LG U+ 추가 해킹 — 통신 3사 전부 뚫렸다
6. 지금 당장 해야 할 조치 체크리스트
7. 이 사태가 남긴 교훈

1. 사건 개요 — 무슨 일이 있었나

2025년 4월 18일 오후 6시, SKT 네트워크인프라센터는 트래픽 이상 징후를 최초 감지했습니다. 이후 4월 19일 밤 11시 40분, 가입자 인증 서버(HSS, Home Subscriber Server)가 침해된 사실이 확인됩니다.

타임라인

4월 18일

SKT 내부 트래픽 이상 징후 최초 감지

4월 19일

HSS 서버 침해 확인, 악성코드로 유심 정보 유출 정황 발견

4월 20일

한국인터넷진흥원(KISA) 신고 접수

4월 25일

유영상 SKT 대표 공식 사과 + 전 고객 유심 무상 교체 발표

4월 28일

전국 대리점에서 유심 무상 교체 시작 — 오픈런 사태 발생

5월 7일

최태원 SK그룹 회장 대국민 사과 및 보안 투자 확대 약속

2026년

KT·LG U+ 추가 해킹 피해 공개 — 통신 3사 보안 신뢰 위기

2. 해킹 원인 — BPFDoor 악성코드란?

이번 해킹에 사용된 악성코드는 'BPFDoor(BPF도어)'입니다. 리눅스 서버를 노리는 고도화된 백도어 악성코드로, 일반적인 보안 솔루션으로는 탐지가 극히 어렵다는 특징이 있습니다.

🔍 BPFDoor의 작동 방식

• 평소에는 완전히 잠복 — 네트워크 트래픽도, 이상 로그도 없음
• 해커가 보내는 특정 패킷('매직 패킷')을 받으면 즉시 활성화
• 방화벽과 IPS/IDS를 우회해 아웃바운드로 데이터 유출
• 기존 보안 모니터링으로는 탐지 자체가 어려운 구조

보안 업계에서는 이반티(Ivanti) VPN 장비의 취약점을 통해 최초 침투가 이뤄졌을 가능성을 제기하고 있습니다. 악성코드의 최초 설치 시점은 2022년 6월로 추정되며, 이후 약 2~3년간 잠복 상태로 정보를 유출했을 가능성도 배제할 수 없습니다. 최종 조사 결과, 감염된 서버는 총 23대, 발견된 악성코드는 25종에 달했습니다.

💡 핵심 포인트

SKT는 사고 발생 약 6개월 전에 정보보호 관리체계(ISMS) 인증 심사를 통과한 상태였습니다. 인증을 받았더라도 실제 현장에서 보안 체계가 작동하지 않은 것으로, 보안 인증 제도 자체의 실효성 문제가 도마에 오르게 됩니다.

3. 유출된 정보의 종류와 실제 위험 수위

유출된 정보의 규모는 9.82GB, IMSI 기준 2,695만 건 이상입니다. 어떤 정보가 유출됐고, 실제로 얼마나 위험한지를 정확히 이해하는 것이 중요합니다.

유출됨 (위험)

• IMSI (가입자 식별번호)
• 유심 인증키 (Ki)
• 전화번호 (MSISDN)

유출 안 됨 (안전)

• 주민등록번호
• 주소·이메일·금융정보
• 사진·연락처·메시지
• 공인인증서·OTP·생체정보

가장 큰 우려는 '심 스와핑(SIM Swapping)' 공격입니다. 유출된 IMSI와 인증키를 이용해 복제 유심을 만들고, 이를 통해 피해자의 전화번호를 탈취해 금융 인증을 무력화하는 방식입니다.

다만 전문가들은 실제 피해 가능성에 대해 비교적 낙관적인 평가를 내렸습니다. 2022년부터 도입된 FDS(이상 인증 차단 시스템)가 복제 유심의 통신망 접속을 실시간으로 차단하기 때문입니다. 현재까지 복제 유심을 통한 직접적 금융 피해 사례는 공식적으로 확인되지 않고 있습니다.

4. SKT의 대응 및 문제점

SKT의 초기 대응은 여러 면에서 비판을 받았습니다.

주요 비판 사항

①

늦은 공지 — 침해 사실을 T월드 앱 팝업으로만 공지하며 하루가 지나도록 많은 이용자가 모름

②

축소 신고 — KISA에 명백한 해킹임에도 '유출 의심 정황'으로 기재해 초동 대응 혼선 초래

③

유심 재고 부족 — 무상 교체를 약속했지만 2,500만 명에 재고 100만 개, 오픈런 사태 발생

④

2022년 사전 인지 의혹 — 최종 조사에서 SKT가 2022년 자체 조사로 침해 사실을 알고도 적절히 조치하지 않은 것으로 드러남

5. KT·LG U+ 추가 해킹 — 통신 3사 전부 뚫렸다

SKT 해킹 사태를 계기로 정부가 KT와 LG U+에 대한 보안 점검을 실시했고, 이후 두 통신사도 해킹 피해를 당한 사실이 드러났습니다. 사실상 대한민국 통신 3사가 모두 유사한 보안 취약점에 노출되어 있었다는 충격적인 결론입니다.

📌 이것이 의미하는 바

단순히 한 기업의 보안 사고가 아닙니다. 국가 핵심 통신 인프라 전반의 보안 체계에 구조적 결함이 있다는 것이 드러난 것입니다. 특히 LG U+는 서버 폐기·업데이트로 증거를 인멸했다는 의혹까지 제기되어 사태를 더욱 악화시켰습니다.

6. 지금 당장 해야 할 조치 체크리스트

사태가 1년이 지난 현재에도 보안 조치는 여전히 유효합니다. 아직 하지 않았다면 지금 확인하세요.

✅ 보안 조치 체크리스트

1

유심보호서비스 가입 확인

T월드 앱 → 부가서비스 → 유심보호서비스. 현재는 전 고객 자동 가입 처리됨

2

유심 교체

전국 SKT 대리점에서 무상 교체 가능. 유심 교체 시 IMSI·인증키 변경으로 유출 정보 무력화

3

번호도용문자차단 서비스 신청

내 번호로 스팸·스미싱 문자가 발송되는 것을 차단. KISA 홈페이지 또는 이통사 앱에서 신청

4

금융 앱 2차 인증 강화

SMS 인증만 쓰는 곳은 OTP 앱·생체 인증으로 전환. 문자 인증은 가장 취약한 방식

5

이상한 통화 불능·문자 수신 이상 즉시 신고

복제 유심 사용 시 동일 번호 충돌로 통화 불능 현상 발생 가능. 118(KISA) 또는 경찰에 신고

7. 이 사태가 남긴 교훈

SKT 유심 해킹 사태는 단순한 기업 보안 사고를 넘어, 우리 사회가 얼마나 디지털 보안에 취약한지를 적나라하게 드러낸 사건입니다.

🏢

기업에게: 보안 인증 통과가 곧 보안이 아니다

ISMS 인증을 받았음에도 실제 공격에 속수무책이었습니다. 형식적 인증이 아닌 실질적 대응 역량을 갖춰야 합니다.

🏛️

정부에게: 통신 인프라는 국가 안보다

북한 소행 가능성까지 제기된 이번 사태는 통신 보안이 단순 IT 문제가 아닌 국가 안보 사안임을 보여줍니다.

👤

개인에게: SMS 인증 의존을 버려야 할 때

문자 인증(SMS OTP)은 보안에서 가장 취약한 방식입니다. 중요 서비스는 반드시 앱 기반 OTP나 패스키(Passkey)로 전환하세요.

TAKEAWAY

내 휴대폰 번호 하나가
금융·인증·신원의 열쇠가 된 세상입니다.

유심보호서비스 가입, SMS 인증 탈피, 이상 징후 즉시 신고.
작은 습관이 가장 강력한 방패입니다.