본문 바로가기
🧾 소소하지만 꼭 필요한 정보들/이세상 사건사고 등 꿀팁

[제1편] 휴대폰이 마비되는 순간, SKT 유심 해킹 사건 개요 및 원인 분석

by 티미클로그 (Tmiracle Log) 2025. 5. 3.
반응형

🚨 2025년 4월 18일, 대한민국의 대표 이동통신사 SK텔레콤은 전례 없는 해킹 사태를 마주하게 된다. 전국 23만 명 이상의 가입자 유심(USIM) 정보가 BPFdoor라는 고도화된 악성코드에 의해 유출되며, 대한민국 통신 인프라의 보안이 송두리째 흔들렸다.

이번 1편에서는 사건의 기술적 배경과 유출된 정보의 심각성, 그리고 SKT 인프라 내부에 어떤 보안적 허점이 있었는지를 낱낱이 분석한다. 📡🔍

🧠 1. 사건 개요: 무엇이 일어났는가?

4월 중순, SKT는 자사의 핵심 가입자 관리 시스템인 **홈 가입자 서버(HSS)**에 침투한 BPFdoor 악성코드를 탐지하게 된다.

이 악성코드는 단순 스파이웨어가 아닌 백도어 기반의 침입형 악성코드로, 서버 접근 권한을 탈취하고 가입자 인증 정보 전체를 외부로 전송하는 기능을 수행한다. 피해 규모는 약 23만 7천 명 이상으로, 이는 전체 이동통신 가입자의 약 1%에 해당하는 수치다.

특히 서울과 수도권, 주요 기업 임직원 계정이 포함돼 있었고, 이 정보는 이후 가상자산 해킹, 계좌 도용, 금융사기 등의 범죄로 악용될 가능성이 제기되었다. 🔓💸

📦 2. 유출된 정보의 내용과 위험성

이번 사건에서 유출된 정보는 단순한 이름·번호 수준이 아닌, 모바일 인증의 핵심 정보였다:

📌 IMSI (International Mobile Subscriber Identity)

  • 통신망 접속 시 사용되는 이동가입자 식별번호로, 기지국과의 인증에 반드시 사용됨
  • 이 정보가 유출되면, 해커는 타인의 통신망 인증을 위조 가능

📌 ICCID (Integrated Circuit Card Identifier)

  • 유심 고유 식별번호
  • 유심 복제 및 스와핑(SIM Swapping)에 직접 활용될 수 있음

📌 인증키 (Ki)

  • 유심 내 가장 핵심적인 암호화 키로, 통신사 서버와 기기간 상호 인증용 비밀값
  • 이 키가 유출되면, 사실상 해당 유심의 복제 및 위조가 자유로워짐

☠️ 이 세 가지 정보가 모두 함께 유출되었다는 점에서, 이번 사건은 단순 정보유출이 아니라 모바일 정체성 도난이라는 더 큰 위험으로 확장된다.

🧨 3. 공격 방식: BPFdoor의 작동 원리

BPFdoor는 주로 리눅스 기반의 서버를 대상으로 작동하는 악성코드다. 다음과 같은 특징을 지닌다:

  • 🔐 포트리스닝 우회 기능: 방화벽을 통과하지 않고도 명령을 수신
  • 🧬 암호화된 통신 경로: 서버 내부에서 활동하며 C&C 서버와 암호화된 트래픽으로 연결
  • 📁 백그라운드 루트킷 기능: 로그를 남기지 않고 관리자 권한 탈취

이런 방식으로 SKT의 내부 인증 서버에 접근해 수일~수주간에 걸쳐 가입자 인증 데이터를 지속적으로 추출한 것으로 추정된다.

💡 SKT는 이 시점을 2025년 4월 10일 전후로 추정하고 있으며, 약 1주일 간 공격이 지속된 것으로 분석된다.

🛡️ 4. SK텔레콤의 내부 보안 체계의 문제점

사건 이후 전문가들과 언론은 SK텔레콤 내부 시스템 보안에 대한 다음과 같은 문제를 지적했다:

❗ ① 통합 인증 서버 구조의 단일화

  • 홈 가입자 서버(HSS)가 단일한 경로로 모든 인증 요청을 담당
  • 이는 일단 침투에 성공하면 전체 고객 인증 정보에 접근 가능한 구조였음을 의미함

❗ ② 실시간 이상징후 탐지(FDS) 미비

  • 유출이 1주일 이상 진행되었음에도 탐지되지 않았음
  • 이는 실시간 이상 트래픽 감지 시스템이 미작동하거나, 탐지 민감도 기준이 낮았던 것으로 해석됨

❗ ③ 제로 트러스트(Zero Trust) 미도입

  • 내부 시스템 간 과도한 신뢰 연결 설정
  • 보안적으로 '모든 요청은 의심한다'는 구조 부재로 내부 이동이 자유로운 구조

🔍 5. SKT의 초기 대응과 한계

SKT는 사건 발생 즉시 보안 점검 및 유심 무상 교체 프로그램을 발표했다. 또한 공식 발표를 통해 "해당 정보는 금융계좌 정보와는 분리되어 있으며, 금융피해는 직접 연계되지 않는다"고 밝혔다.

그러나 많은 이용자들은 보안 사각지대에 자신이 노출되었다는 점에서 불안감을 호소했으며, 사건 사실을 언론 보도로 먼저 접한 점에 대해서도 불만을 제기했다.

📣 SKT의 커뮤니케이션 미흡은 이후 2편에서 보다 상세히 다룰 예정이다.

📝 마무리

이번 유심 해킹 사건은 단순한 기술적 해킹을 넘어서, 대한민국 통신 인프라의 보안 체계가 얼마나 허술할 수 있는지를 보여주는 구조적 경고다.

📱 유심은 단순한 칩이 아니라 우리의 모바일 신분증이다. 그 신분증이 무방비로 노출되었을 때, 단순한 정보 유출이 아닌 생활 전반의 침해가 가능해진다.

👉 다음 2편에서는 이 사건이 사회적으로 어떤 혼란을 초래했는지, 실질적인 피해 사례와 SKT의 후속 대응을 중심으로 살펴보겠다.

반응형
저작자표시 비영리 변경금지

'🧾 소소하지만 꼭 필요한 정보들 > 이세상 사건사고 등 꿀팁' 카테고리의 다른 글

📵 SKT 유심 해킹 사태! – 개인정보보호위가 내린 긴급 대응 조치 총정리  (4) 2025.05.07
📱 SKT 유심 교체 시 주의할 점 총정리 – 해킹 예방을 위한 필수 체크리스트!  (6) 2025.05.03
[제3편] 다시는 당하지 않기 위해 – SKT 유심 해킹 재발 방지 대책과 사용자 대응법  (2) 2025.05.03

관련글

티스토리툴바