SK텔레콤 유심 정보 유출 사고

사건 개요

2025년 4월, SK텔레콤 내부 시스템에서 악성코드 침해 사고가 발생하여 일부 가입자의 유심(USIM) 정보가 유출되었다. 4월 19일 오후 11시경 악성코드가 탐지되었으며, 즉시 삭제 및 감염 장비 격리 조치가 이루어졌다. 이번에 유출된 정보는 USIM 고유식별번호(IMSI), 전화번호(MSISDN), 인증키 등이며, 주민등록번호, 주소, 금융 정보 등 민감한 정보는 유출되지 않은 것으로 확인됐다.

사고는 SKT의 가입자 정보 관리 시스템(HSS) 일부가 침해되면서 발생한 것으로 추정되며, 현재까지 유출 정보의 악용 사례는 보고되지 않았다.

SK텔레콤 및 정부 대응

SK텔레콤은 사고 인지 직후 악성코드를 제거하고, 해킹 의심 장비를 즉시 격리 조치했다. 고객 보호를 위해 4월 28일부터 전국 대리점에서 USIM 무상 교체를 시행했으며, 4월 19일부터 27일까지 자비로 교체한 고객에게는 비용을 환급할 계획을 밝혔다.

또한 비정상적인 인증 시도를 차단하는 FDS(Fraud Detection System)를 강화하고, 이동전화번호 무단 변경 방지를 위한 USIM 보호 서비스를 제공하고 있다.

정부도 즉각 대응에 나섰다. 과학기술정보통신부는 합동조사단을 구성해 사고 원인을 조사하고 있으며, 국가정보원, 경찰청 등 관계기관은 SKT의 대응조치를 점검하고 보안 체계 강화를 지시했다.

유심 정보 유출 이후 예상 2차 공격 시나리오

• 심스와핑(SIM Swapping)
  공격자가 유출된 전화번호, IMSI, 인증키를 활용해 피해자의 전화번호를 탈취. 이후 2차 인증 문자(OTP 등)를 가로채 금융 계좌 탈취, SNS 탈취 공격 가능.
• 명의도용 및 금융사기
  유출된 전화번호와 고유 식별번호를 활용하여 대출 신청, 신용카드 발급 등 금융 사기 시도.
• 위치추적 및 통신 감청
  IMSI를 활용해 피해자의 실시간 위치 추적, 통신 감청 가능성.

---

[2차 공격 흐름 요약]

USIM 정보 유출 → SIM 스와핑 시도 → OTP/본인 인증 탈취 → 금융 계좌 접근 및 개인정보 탈취

---

BPFDoor 악성코드

이번 침해 사고에는 리눅스 서버 대상 스텔스형 백도어 악성코드인 BPFDoor가 사용된 것으로 분석되었다. BPFDoor는 중동과 아시아 지역을 대상으로 한 공격에 사용된 전력이 있으며, 매우 은밀하게 네트워크 포트 필터링을 우회하여 서버를 제어하는 특징을 가진다.

SK텔레콤 사고에서도 리눅스 서버의 특정 통신 포트가 악성코드에 의해 장악된 정황이 발견되었으며, 이를 통해 지속적인 통제 및 데이터 유출이 가능했던 것으로 보인다. BPFDoor는 기존 보안 솔루션 탐지를 우회할 수 있어, 전용 리눅스 보안 솔루션이 설치되지 않은 환경에서는 매우 높은 위협이 된다.

---

결론 및 시사점

이번 사고는 통신 인프라의 핵심 시스템 보안에 대한 경각심을 다시 한번 일깨운 사례다. 특히 리눅스 서버에 대한 전용 보안 솔루션 부재와, 침투 이후 탐지 지연 문제가 심각한 리스크로 부각됐다.

향후 과제로는 다음과 같은 대응이 필요하다:

• 리눅스 서버 대상 전용 백신·EDR 도입 및 정책 강화
• 통신사 핵심 시스템 접근 통제 및 모니터링 강화
• 통신망·USIM 관련 2차 인증 강화 (예: 인증 강화를 위한 별도 보안 토큰 도입)
• 통신사-금융사-정부 간 침해지표(IOC) 실시간 공유 체계 구축
• 소비자 대상 보안 교육 및 유심 보호 서비스 가입 촉진

또한 개인 사용자 역시 유심 보호 서비스 가입, 이중 인증 활성화, 의심스러운 문자의 즉시 삭제 등 기본 보안 수칙을 철저히 준수해야 한다.

---

요약:

• 이번 침해는 단순 정보 유출이 아니라 통신 인프라 심층 침투를 통한 국가 기반시설 위협 가능성까지 내포한 사건이다.
• 보안업계와 정부는 사건의 심각성을 직시하고, 전면적인 통신 인프라 보안 강화에 착수해야 한다.
• 이용자는 "내 정보는 내가 지킨다"는 마음으로, 스스로 보안 수칙을 강화하는 노력이 절실하다.