[이슈조명] SKT 고객 유심 정보 유출, 민낯 드러난 韓 사이버보안

[아이티데일리] 국내 이동통신 업계 1위 SK텔레콤(SKT)에서 유심(USIM; 가입자식별모듈) 관련 정보가 유출됐다. SKT는 미상의 공격자가 악성코드를 심은 뒤 홈 가입자 서버(HSS)에서 가입자식별키(IMSI) 등 유심 정보를 빼낸 정황을 파악해 신고 조치했다. 이후 정부에서는 민관합동조사단을 꾸려 사건 경위 파악과 피해 현황 조사에 착수했다.

이번 사건은 우리나라 사이버보안 전반에 파문을 일으키고 있다. 조사 과정에서 SKT의 보안 체계에 허점이 드러나며 이를 성토하는 목소리가 커졌다. 더욱이 유출 정보가 범죄에 악용될 가능성이 제기되며 소비자 불안감도 증폭됐다. 보안 프로그램을 회피하는 악성코드가 발견됨에 따라 추가 피해를 막기 위한 다각적인 노력도 이어지는 중이다. SKT 해킹 사건의 발생부터 정부와 보안업계의 대응, 기술적 분석, 그리고 앞으로 나아가야 할 방향까지 살펴본다.

2천만 고객 유심 정보 유출…정부, 수사기관 조사 착수

SKT는 지난 4월 22일 공식 홈페이지를 통해 악성코드로 인해 고객 유심 정보 일부가 유출된 것으로 의심되는 정황을 발견했다고 발표했다. 당시 SKT는 유출 가능성 인지 후 바로 해당 악성코드를 삭제했으며 해킹 의심 장비도 격리 조치했다고 전했다. 이와 함께 유심 복제를 통한 불법 기기 변경을 막기 위해 유심보호서비스를 제공하기 시작했다.

SKT가 이상 징후를 처음 감지한 시점은 4월 18일이었다. 18일 오후 6시경 SKT 네트워크 인프라센터는 트래픽 이상 징후를 처음 감지했고, 센터 내 정보보호실은 이 상황을 인프라운용본부와 공유한 뒤 조사에 착수했다. 다섯 시간 뒤인 밤 11시경, 과금분석장비(WCDR)에서 악성코드가 심어진 사실과 함께 파일이 삭제된 흔적이 발견됐다.

다음 날인 19일 새벽 1시께 SKT는 해당 WCDR을 격리 조치하고 침입 경로 및 유출 데이터 분석을 시작했다. 같은 날 밤 11시 40분 홈 가입자 서버 3대에서 데이터 유출이 의심되는 정황을 확인했다. 내부적으로 유심 정보 유출 사실을 확정하고 20일 오후 3시 30분 내부 결정권자에게 공식 보고했으며, 약 한 시간 후인 4시 46분 한국인터넷진흥원(KISA)에 침해 사실을 신고했다. 22일 오전 10시에는 개인정보보호위원회에 개인정보 유출 정황을 신고했다.

신고를 접수한 과학기술정보통신부와 KISA는 즉각 피해 현황 및 원인 조사에 착수했다. 과기정통부는 23일 최우혁 정보보호네트워크정책관을 단장으로 민관합동조사단을 꾸렸다. 조사단에는 KISA와 보안업계 민간 전문가 총 10여 명이 참여했다.

개인정보위도 신고 당일(4월 22일) 조사에 착수했다. 정보통신망법에 근거한 과기정통부 민관합동조사단의 침해사고 조사과 달리, 개인정보위는 개인정보 유출 대상 및 피해 규모와 보호법상 안전조치 의무 위반 여부를 확인했다.

이와 더불어 경찰도 해킹 경위·배후에 대한 수사에 나섰다. 서울경찰청 사이버수사과는 30일 22명 규모 전담수사팀을 편성했다.

악성코드 25종 발견…개인정보 유출 가능성 대두

과기정통부 민관합동조사단은 4월 29일 일주일간 조사한 결과를 1차 발표했다. 조사단은 공격 정황이 있는 3종 5대 서버를 살펴본 결과, 가입자 전화번호, 가입자식별키(IMSI) 등 25종의 정보가 유출된 사실을 확인했다. 이와 함께 침투에 사용된 BPF도어(BPFDoor) 계열의 악성코드 4종도 발견했다.

조사단은 SKT 내 리눅스(Linux) 서버 3만여 대를 네 차례에 걸쳐 점검한 뒤 5월 19일 2차 조사 결과를 발표했다. 유출된 유심 정보 규모는 9.82기가바이트(GB)였고 IMSI 기준 26,957,749건이었다.

조사단은 1차 발표 시 공지한 악성코드 4종 외에, 5월 3일 공지한 8종을 포함해 BPF도어 계열 20종과 웹셸(Web Shell) 1종을 추가 발견했다. 또 2022년 6월 15일 악성코드가 최초 설치된 사실을 파악했다. 공격받은 정황이 있는 서버는 총 23대로 늘어났다. 조사단은 15대에 대한 정밀 분석을 마무리했고, 8대도 조만간 분석을 완료키로 했다.

2차 결과에서 논란을 빚은 점은 단말기 고유식별번호(IMEI)와 개인정보 유출 가능성이었다. 1차 조사에서는 IMEI 유출이 확인되지 않았지만 2차 조사에서 해당 정보가 임시 저장된 서버 2대에 대한 공격 정황이 발견됐다.

조사단은 방화벽 접속 기록이 남아있는 2024년 12월 3일부터 2025년 4월 24일 사이 자료 유출이 없었음을 확인했다. 다만 악성코드가 최초 설치된 시점부터 접속 기록이 남아있지 않은 기간(’22.06.15.~’24.12.02.)의 자료 유출 여부는 확인하지 못했다.

조사단은 문제 서버를 확인하고 정밀 분석이 끝나기 전이라도 자료 유출 가능성을 자체 확인하고, 이로 인한 피해를 예방하는 조치를 마련하라고 요구했다. 또한 개인정보의 경우, 개인정보위에서 조사가 필요한 사항이라는 판단에 따라 해당 사실을 5월 13일 통보하는 한편, 확보한 서버 자료를 공유했다.

도마 위 오른 SKT의 보안 체계

이번 사건을 두고 SKT의 미흡한 보안 체계를 꼬집는 목소리가 나오고 있다. 우선 유심 관련 정보에 암호화가 이뤄지지 않은 사실이 확인됐다. 암호화는 보안이 필요한 정보를 특정 알고리즘을 통해 의미 없는 문자열로 바꾸는 작업이다.

암호화가 이뤄진 정보는 복호화 키가 없이는 알아볼 수 있는 형태로 해독이 불가하다. 이 경우 공격자가 정보를 탈취하더라도 추가 범죄에 악용하기 어렵고, 암호를 해독한다 해도 막대한 컴퓨팅 자원과 시간이 필요해 이득을 얻기 힘들다.

4월 30일 열린 국회 과학기술정보방송통신위원회(이하 과방위) 청문회에서 SKT 류정환 네트워크인프라센터장(부사장)은 “마케팅 쪽은 암호화가 거의 다 돼 있다고 보지만 네트워크 쪽은 암호화돼 있지 않은 부문이 많다”며 “데이터 인증을 할 때는 암호화를 하지만, 데이터로 저장된 상태에서는 암호화를 하지 않고 있다”고 말했다. 유심 데이터에 암호화가 이뤄지지 않은 사실을 인정한 것이다.

SKT 측은 유심 정보는 법적으로 암호화 규정이 없어 소홀했다는 점을 시인했다. 류 부사장 역시 “법적 기준이 미비해 암호화하지 않았다”고 밝혔다. 실제 행정안전부 고시에 따르면 IMSI, 가입자 인증키 등 유심 데이터는 암호화 의무 대상이 아니다. 하지만 KT, LG유플러스는 법적 의무와 관련 없이 유심 데이터를 암호화해 보관 중이었다.

아주대학교 사이버보안학과 곽진 교수는 “핵심 가입자 정보를 암호화해 보호해야 하는 것은 보안의 기본 원칙”이라며 “암호화가 제대로 이뤄지지 않았다면 이는 심각한 문제이며, 해킹 피해가 커질 수 있는 또 다른 원인이 될 수 있다”고 지적했다.

이어 곽진 교수는 “암호화 작업은 그리 어려운 일이 아니다. 현재 소프트웨어, 하드웨어 기술을 감안할 때 시간이 오래 걸리는 일도 아니다”라며 “암호화에 대한 계획이 있다거나 이를 진행 중이라는 표현은 말이 되지 않는다”고 덧붙였다.

한편, 유심 정보 유출 경로로 이용된 시스템에 백신이 설치되지 않은 사실도 알려졌다. 개인정보위는 지난달 8일 보도자료를 통해 “유출 경로가 된 주요 시스템에 악성 프로그램 방지를 위한 보안 솔루션이 설치되지 않았던 점을 확인했고, 이는 개인정보 관련 기술적·관리적 조치가 미흡했다 보고 있다”며 “HSS 서버 외에 주요 개인정보 처리 시스템을 대상으로 전수 조사를 진행 중”이라고 밝혔다.

해킹 사건 경위·원인 두고 ‘설왕설래’

사건 조사가 이뤄지고 있는 가운데 해킹의 경위와 원인을 두고 여러 설이 나왔다. 먼저 이반티(Ivanti) 가상사설망(VPN) 솔루션 내 보안 취약점을 악용해 해킹이 발생했을 가능성이 제기됐다.

대만 사이버보안 기업 팀티파이브(TeamT5)는 4월경 중국과 연계된 해커 그룹이 ‘이반티 커넥트 시큐어(Ivanti Connect Secure)’ VPN을 통해 전 세계 여러 기관에 침투했다고 발표했다.피해 국가는 한국을 비롯한 12개국이며, 대상 산업으로는 통신 등 20개 분야가 꼽혔다. 악용된 취약점은 CVE-2025-0282와 CVE-2025-22457였다.

구글 클라우드 맨디언트와 이반티는 올해 1월 이반티 커넥트 시큐어에서 해당 취약점들을 발견했다. 이 취약점을 악용할 경우 인증되지 않은 원격 코드 실행으로 네트워크 침입과 악성코드 설치가 가능했다. 이반티는 취약점을 해결한 보안 패치를 발표했으며 악성코드가 없을 때에도 공장 초기화를 권고했다.

하지만 SKT에서 실제 사용한 VPN 장비가 이반티 제품인지 다른 업체 제품인지는 확인되지 않고 있다. 지난달 19일 2차 결과 발표에서 KISA 이동근 디지털위협대응본부장은 “이반티 관련해서는 현재까지 조사한 부분에서 특이점은 발견되지 않고 있다”고 밝혔다.

중국과 연계된 해커 조직이 일으킨 공격이라는 주장도 제기됐다. 앞서 언급된 이반티 VPN 취약점의 경우, 구글 클라우드 맨디언트와 팀티파이브 등 해외 보안 기업들은 중국을 공격의 배후로 추정했다. 트렌드마이크로에서도 지난 4월 보고서를 통해 중국 해커 집단 ‘레드 멘션(Red Menshen)’이 BPF도어를 이용했다고 밝힌 바 있다.

일각에서는 해킹 배후로 북한을 주목하기도 했다. 해킹 과정에서 활용된 IP가 중국으로 나오는데 이 대역을 북한이 주로 이용한다는 이유에서였다.

정부에서는 해킹 주체를 두고 불거지는 논란에 대해 신중한 입장이다. 민관합동조사단은 5월 21일 해명 자료를 내고 “현재까지 해킹의 주체는 확인된 바 없다”고 선을 그었다. 이어 조사단은 “서버 감염 유무, 자료 유출 여부와 규모 등을 목적으로 조사를 진행 중이며 해킹 주체 등의 조사는 수사기관에서 담당한다”고 덧붙였다.

공격에 쓰인 ‘BPF도어’…“은닉성 높아 탐지 어려워”

조사 과정에서 발견된 BPF도어에 대한 관심도 높았다. BPF도어는 리눅스 운영체제(OS) 시스템을 대상으로 하는 백도어(Backdoor) 악성코드다. 리눅스에서 쓰이는 ‘버클리 패킷 필터(Berkeley Packet Filter; BPF)’라는 네트워크 패킷 분석 기술을 악용해 만들어졌다. 1990년대 초반에 개발된 BPF는 본래 정상적인 네트워크 트래픽 분석 도구로 성능 모니터링, 디버깅 등에 쓰인다.

보통 백도어는 공격자로부터 명령을 전달받기 위해 특정 포트를 열어두고 비콘(Beacon)으로 신호를 주고받는다. 이 때문에 역으로 [netstat] 등의 명령어를 사용해 탐지할 수도 있다.

이와 달리 BPF도어는 악성 행위가 발생하기 전까지는 특별한 징후를 감지하기 어렵다. BPF를 악용해 특정 패킷을 감지했을 때만 활성화되며 그 외 상황에서는 정상 프로세스로 위장하기 때문이다. 또 BPF로 네트워크 트래픽을 감시하기 때문에 방화벽에서 차단하지 않은 정상 트래픽 범위에서 명령을 주고받는 일도 가능하다.

국민대학교 인공지능학부 윤명근 교수는 “BPF도어는 조용히 숨어 있다가 고유 정보가 담긴 ‘매직 패킷(Magic Packet)’이 들어오면, 공격자가 시스템을 원격 제어할 수 있는 환경을 구성해 추가 공격을 위한 발판을 만든다”고 설명했다.

윤 교수는 이어 “많은 악성코드가 윈도우 OS를 표적으로 삼았는데 BPF도어는 리눅스, 그 안에서도 패킷을 필터링하는 BPF를 노렸다”며 “공격자가 원하는 시점에 악성코드를 실행시키려고 만들어낸 굉장히 지능화된 전략”이라고 강조했다.

아주대 곽진 교수는 “BPF도어는 고도화된 형태의 악성코드다. 공격자가 시스템에 침투해 내부를 장악한 뒤에 정교한 준비를 거쳐 BPF도어를 설치했을 가능성이 높다”고 말했다.

정부는 BPF도어로 인한 추가 피해를 막기 위한 대응에 나섰다. KISA는 4월 25일과 5월 3일 두 차례에 걸쳐 보호나라 공지를 통해 BPF도어 관련 침해지표(IoC)를 공개했다. 또한 BPF도어 악성코드 감염 여부를 확인할 수 있는 점검 가이드도 공유했다.

국내 보안업계도 BPF도어 관련 솔루션을 잇달아 내놓았다. 먼저 잉카인터넷은 4월 30일 BPF도어 악성코드 전용 백신을 무료로 배포했다. 해당 프로그램에는 다양한 BPF도어 변종에 대응할 수 있도록 패턴 105종이 적용됐다.

파이오링크는 지난 8일 KISA에서 공지한 악성코드와 악성 C2 서버를 탐지할 수 있는 BPF도어 점검 도구를 내놓았다. 추가로 의심 또는 숨겨진 프로세스 및 파일 이름을 점검할 수 있는 업데이트를 진행했으며, BPF도어의 작동 방식과 침투 경로 등을 분석한 보고서도 공개했다.

‘심 스와핑’ 등 악용 우려…SKT, 유심보호서비스 조치 시행

소비자들은 유출 정보를 악용한 범죄를 우려하고 있다. 가장 많이 언급된 문제는 ‘심 스와핑(SIM Swapping)’이다. 심 스와핑은 휴대전화에 장착된 유심칩의 정보를 훔쳐 복제한 뒤, 이를 다른 기기에 장착해 금융자산 탈취 등에 이용하는 공격이다. 지난 2021년 미국 대형 통신사 티모바일(T-Mobile)이 데이터 유출 사고를 겪었을 때 공격자들이 고객 정보로 심 스와핑을 일으킨 바 있다.

SKT는 유출 정황을 공개하면서 불법 유심 복제를 막기 위한 ‘유심보호서비스’를 공개했다. 이는 유심(IMSI)과 단말(IMEI)을 하나로 묶어 관리하는 서비스로, 복제한 유심으로 기기를 변경하는 것을 막아준다. 이와 함께 SKT는 비정상인증 차단 시스템(FDS)도 사고 직후 최고 보안 수준으로 격상시켰다.

SKT의 이같은 대응에도 소비자들의 불안은 사그라지지 않았다. 전국 SKT 매장에는 유심을 교체하기 위해 방문한 사람들이 줄을 이었다. SKT는 4월 28일부터 유심 교체를 무료로 제공한다고 발표했으나 매장에서 보유한 수량이 충분치 않은 관계로 여러 고객이 헛걸음하고 말았다.

이에 SKT는 유심 무료 교체 예약 시스템을 도입했으며 추가로 ‘유심 재설정’ 솔루션도 도입했다. 유심 재설정은 유심에 존재하는 △사용자 식별/인증 정보 △사용자 직접 저장 정보 중 ‘사용자 식별/인증 정보’의 일부를 새로운 정보로 변경하는 방식이다. 해당 정보가 바뀌면 유출된 유심 정보로 복제를 시도하더라도 시스템 접속이 차단된다. 지난달 19일부터는 도서 벽지에 거주하는 고객과 취약계층을 찾아 유심을 교체해 주는 ‘찾아가는 서비스’도 시작했다.

IMEI·개인정보 유출 가능성…정부 “물리적 복제 불가하다”

조사단의 2차 발표 후 심 스와핑으로 인한 공포가 다시 고개를 들었다. 개인정보와 IMEI 등을 임시 저장하는 서버 2대에서 공격 정황이 발견됐기 때문이다. 이 서버에 저장된 파일에는 IMEI 29만여 건이 포함돼 있었다.

조사단은 로그가 남아있는 기간(’24.12.03.~’25.04.24.)에는 자료 유출이 없었음을 확인했으나, 해당 서버에 악성코드가 설치된 시점(’22.06.15.)부터 2024년 12월 2일까지는 기록이 없어 유출 여부를 파악하지 못했다.

일각에서는 IMEI가 유출됐다면 유심보호서비스가 무용지물이 될 수 있다고 우려했다. 유심보호서비스는 IMSI와 IMEI를 묶어서 복제폰을 차단하는 구조인데, IMEI까지 유출됐을 때 이를 우회할 가능성을 배제할 수 없다.

정부는 IMEI만으로는 복제폰을 만들 수 없다고 강조했다. 과기정통부 류제명 네트워크정책실장은 “휴대폰 제조사에 확인한 결과, 제조사가 보유한 단말별 인증키 값없이 IMEI만으로는 물리적 복제가 불가능하다. 또한 SKT에서 FDS를 고도화했기에 설사 복제품이 만들어졌다 해도 네트워크 접속은 차단된다”고 설명했다.

SKT도 이같은 우려를 일축했다. SKT 류정환 부사장은 지난 19일 오후 열린 일일브리핑에서 “IMEI 29만 건은 외부 유출이 아닌 일시 저장된 파일에서 내부적으로 확인된 것”이라며 “IMEI만으로 복제가 불가하며, 설사 그러한 시도가 있더라도 망 차원에서 차단되고 있다”고 밝혔다.

보안 전문가들 역시 유심 복제는 이론적으로 가능하나, SKT에서 다양한 조치를 하고 있어 현실성은 낮다고 평가했다.

국민대 윤명근 교수는 “공격자가 IMEI까지 알아내 복제폰을 만들어도 이를 통해 금전 피해를 일으키는 일은 또 다른 차원의 문제다. 금융회사에서도 강력한 보안 체계와 인증 절차를 갖추고 있다”라며 “정부와 SKT가 여러 대응책을 마련하고 있어 최악의 상황까지는 이어지지 않을 것”이라고 말했다.

아주대 곽진 교수는 “유심 복제는 가능하나 FDS 등으로 통신 프로토콜에서 이상 징후를 감지하는 시스템으로 이에 대비하고 있다. 완벽히 복제한다 해도 2, 3차 피해로 이어지기 위해선 추가 정보가 많이 필요하기에 현실성은 낮다”고 설명했다.

“사이버보안 중요성 일깨우는 계기 삼아야”

전문가들은 이번 사건이 한 기업을 넘어 우리나라 사회 전반의 사이버보안 취약성을 드러냈다고 말하고 있다. 관련 투자 확대와 함께 현재 보안 수준을 돌아보고 책임 의식을 강화하는 계기로 삼아야 한다고 지적했다.

아주대 곽진 교수는 “보안은 비용이 아닌, 신뢰와 지속 가능성을 위한 핵심 투자”라며 “앞으로 사고 재발을 막기 위해선 보안에 대한 책임 의식 강화와 더불어 경영진의 적극적 투자가 필수적”이라고 말했다.

단기적으로는 고도화된 악성코드에 대한 대비가 필요하다. 문제는 새로운 공격 기법을 예측하고 그에 대한 대응 방안을 마련하는 일이 어렵다는 점이다. 가령 BPF도어처럼 정교하게 짜인 악성코드는 현재 안티바이러스나 엔드포인트 탐지 및 대응(EDR) 솔루션으로 탐지하는 데 한계가 있다.

전문가들은 차단보다 예방과 사후 대응에 초점을 맞추는 방향을 제안했다. 100% 완벽한 보안은 있을 수 없다는 점을 인식하고 위협에 대비하며, 사고 발생 시 빠른 대응으로 피해를 최소화해야 한다는 의견이다.

카스퍼스키 아드리안 히아(Adrian Hia) 아시아·태평양 총괄 사장은 “모든 위협을 피할 수 있는 완전한 보안은 없다. 지금이 아닐지라도 언젠가는 해킹으로 인한 데이터 유출이 발생할 수 있다”며 “공격 발생을 전제로 예방과 사후 대응에 초점을 맞춘 보안 체계 구축이 중요하다”고 강조했다.

아주대 곽진 교수 역시 “교묘한 전략으로 공격을 숨기는 사례는 점점 증가하고 있다. 이러한 위협을 원천 차단하는 일은 어렵다”며 “특정 사례에 골몰하기보다 모든 가능성을 열어둔 채 조직 보안 체계 전반을 점검해야 하며, 피해가 일어나더라도 그 규모를 최소화하는 대응 전략을 미리 준비해야 한다”고 조언했다.

늘어나는 위협에 대비한 새로운 기술 개발에 노력해야 한다는 의견도 있었다. 국민대 윤명근 교수는 “보안 관제 센터에서 수많은 데이터가 만들어지는데 이를 들여다보고 분석할 수 있는 기술도, 인력도 부족한 실정”이라며 “연구 차원에서도 더 많은 투자가 이뤄진다면 방대한 데이터를 기반으로 알려지지 않은 위협에 대비하는 기술을 만들어낼 수 있을 것”이라고 주장했다.