SK텔레콤 유심 서버 해킹: 3,400만 가입자가 알아야 할 모든 것

SK텔레콤의 유심(USIM) 정보 서버가 해킹당하면서 약 3,400만 명에 달하는 가입자들이 개인정보 유출 우려에 직면해 있습니다. "통신사 역사상 최악의 보안사고"라는 평가가 나오는 이번 사태의 모든 측면을 알아보겠습니다.
 

[사진=매경]

무슨 일이 발생했나요?

2025년 4월 19일, SK텔레콤의 홈가입자서버(HSS)가 'BPFDoor'라는 악성코드에 감염되어 유심 고유식별번호와 키값 등 중요 개인정보가 유출된 정황이 발견되었습니다. 홈가입자서버는 모든 가입자의 인증, 등록 관리, 위치, 과금 등 통신 서비스에 필요한 핵심 데이터를 관리하는 중앙 시스템입니다.

왜 이번 해킹이 특별히 위험한가요?

1. 핵심 신원정보 유출: 유심 고유식별번호와 키값은 모바일 통신의 '디지털 신분증' 역할을 합니다. 이 정보가 유출되면 사용자의 통신 권한 자체가 탈취될 수 있습니다.
2. 심스와핑(SIM Swapping) 위험: 유출된 유심 정보로 해커가 사용자의 유심을 복제할 수 있습니다. 이를 통해 문자 인증, 은행 거래 등에 사용되는 개인정보와 금융자산을 탈취할 수 있습니다.
3. 2차 피싱 공격: 해커들은 '해킹사고 사실조회' 등을 사칭한 피싱과 스미싱으로 추가 개인정보를 노릴 수 있습니다.
4. 대규모 피해 가능성: SK텔레콤은 국내 모바일 시장의 약 48%를 차지하며, 이는 약 3,400만 명에 해당하는 대규모 가입자 기반입니다.

해킹 도구 'BPFDoor'란?

이번 공격에 사용된 BPFDoor는 고도화된 백도어 악성코드로:

• 방화벽 차단 상태에서도 네트워크 패킷 필터링을 통해 침투 가능
• 2017년부터 활동한 중국 해킹 그룹 'Red Menshen(Earth Bluecrow)'과 연관된 것으로 알려짐
• 특정 '매직 패킷(Magic Packet)'을 통해 활성화되며 TCP, UDP, ICMP 등 다양한 프로토콜을 이용
• 시스템 내에서 "smartadm", "hald-addon-volume", "hpasmmld" 등 정상적인 프로세스로 위장
• 암호화된 SSL 세션을 통해 해커와 은밀하게 통신

공격 발견과 대응 과정

SKT의 해킹 대응 타임라인은 다음과 같습니다:

• 4월 18일(금): 오후 6시 9분, 시스템 내 데이터 이동 정황 첫 인지
• 4월 18일(금): 오후 11시 30분, 악성코드 발견 및 내부피해 인지
• 4월 19일(토): 오전 1시 40분, 데이터 유출여부 상세 분석 시작
• 4월 19일(토): 오후 11시 40분, 유심 관련 정보 유출 정황 발견
• 4월 20일(일): 한국인터넷진흥원(KISA)에 신고 (최초 인지 24시간 이후)
• 4월 22일(화): 개인정보보호위원회에 신고 및 홈페이지에 사과문 게시

 
SKT는 사고 인지 이후 해당 악성코드를 즉시 삭제하고 해킹 의심 장비를 격리 조치했으나, 초기 24시간 내 정부기관에 신고하지 않은 점은 정보보호 관련 법규 위반 가능성이 제기되고 있습니다.

다른 해킹 사건과의 연관성

2025년 4월 10일에는 Qilin 랜섬웨어 그룹이 SK그룹을 공격해 1TB의 정보를 유출했다고 주장한 바 있습니다. 그러나 이번 BPFDoor 공격과의 직접적인 연관성은 아직 확인되지 않았습니다.

가입자가 취해야 할 보호 조치

1. 유심보호서비스 가입: SK텔레콤이 제공하는 '유심보호서비스'에 반드시 가입하세요. 주소: http://skt.sh/nUO7D
2. 휴대폰 전원 관리: SKT에 따르면 유심보호서비스를 사용하지 않은 상태에서 휴대전화 전원이 꺼지거나 비행기 모드로 변경되면 단말기 사용 주도권이 탈취될 가능성이 높아집니다. 가능한 전원을 켜놓는 것이 안전합니다.
3. 비정상 인증 확인: 기관에서는 기기정보 변경고객의 추가인증 및 FDS(Fraud Detection System) 등 부정사용 모니터링을 강화하고 있습니다. 의심스러운 로그인 시도나 인증 요청을 받으면 즉시 통신사에 문의하세요.
4. 피싱 주의: 해킹 관련 조회나 확인을 사칭하는 문자나 전화에 개인정보를 제공하지 마세요.
5. 금융 보안 강화: 모바일뱅킹 앱의 보안 설정을 점검하고, 가능하다면 유심 인증이 아닌 다른 인증 방식(생체인증 등)으로 변경하세요.

통신사 개인정보 유출 사례

이번 사건은 처음이 아닙니다. 최근 10년간 국내 통신사 개인정보 유출 사례는 다음과 같습니다:

• 2023년 LG유플러스: 약 30만 건 유출 (과징금 68억, 과태료 2,700만원)
• 2022년 KT: 계열사 해킹으로 13,393명 정보 유출
• 2013~2014년 KT: 약 1,170만 건(981만 명) 정보 유출

BPF 기술의 이중적 특성

BPFDoor 악성코드의 기반인 BPF(Berkeley Packet Filtering) 기술은 원래 네트워크 패킷 필터링을 위해 설계됐지만, 이번 사례처럼 악용될 수 있습니다:

• 운영체제 커널에서 코드를 효과적으로 실행할 수 있음
• 방화벽의 인바운드 트래픽 규칙을 우회 가능
• 윈도우에서는 아직 BPF 기반 악성코드가 발견되지 않았으나, Microsoft의 'ebpf-for-windows' 연구로 향후 위험 가능성 존재

Microsoft의 'ebpf-for-windows' 프로젝트는 리눅스의 BPF 기능을 윈도우 환경에서도 사용할 수 있게 하는 연구로, 이 기술이 보편화되면 윈도우 시스템에서도 BPFDoor와 유사한 방식의 악성코드가 등장할 가능성이 있습니다. 이는 지금까지 리눅스 서버에 국한되었던 위협이 윈도우 기반 기업 환경으로 확대될 수 있음을 의미합니다.

전문가의 조언: "통신 보안이 무너지면 모든 디지털 신뢰가 무너진다"

사이버 보안 전문가들은 이번 사건이 단순한 개인정보 유출을 넘어 통신·금융·인증의 기반이 되는 핵심 보안 인프라를 위협하는 국가 안보 수준의 리스크라고 지적합니다.
통신망을 운영하는 기업이 해킹으로 이런 정보를 빼앗겼다는 것은 디지털 시대의 근간이 흔들릴 수 있는 심각한 문제입니다. 이제는 사용자인 '우리'도 기본 보안 수칙을 익히고, 개인정보를 지키기 위한 '디지털 방역'에 힘써야 할 때입니다.

특이사항 발견 시 조치

보안 관련 특이사항 발견 시 이글루코퍼레이션 보안분석팀(cert_qa@igloo.co.kr, 02-6715-2210)으로 연락하거나 한국인터넷진흥원(KISA)의 신고센터를 이용하세요.
SKT 고객센터(국번없이 080-800-0577)를 통해 자세한 사항에 대해 문의할 수도 있습니다.