사건 개요
2025년 4월 18일, SK텔레콤의 서버와 인증 시스템을 대상으로 한 해킹 공격이 발생했습니다. 공격자는 SKT의 핵심 인증 서버(HSS, UDM)에 침투하여 고객 유심 인증 정보인 IMSI, KI 등을 유출한 정황이 포착되었습니다. 피해 규모는 약 2,300만 명에 달하며, KISA(한국인터넷진흥원) 에 즉시 보고되었습니다.
공격자는 BPFDoor 계열의 리눅스 백도어를 사용한 것으로 분석되었으며, 이는 포트 리스닝 없이 통신하며 탐지 회피 기능까지 갖춘 고도화된 악성코드입니다.
인증 체계의 구조적 취약점
이동통신망에서 사용되는 IMSI, KI는 가입자 인증의 핵심입니다. 이 값들이 유출되면 복제 유심 제작, SIM 스와핑 등을 통한 2차 피해가 가능해지며, 실질적으로 전화번호 탈취가 일어날 수 있습니다.
이번 공격은 LTE의 HSS, 5G의 UDM 시스템이 중심 인증 데이터를 보유한 상태로 운영되는 구조적 문제와 망 분리 미흡, 운영체제 보안 취약점, 내부 접근 통제 부족이 복합적으로 작용한 결과로 평가됩니다.
침해 경로 추정
- 내부 리눅스 서버가 BPFDoor 악성코드에 감염
- 인증 흐름을 따라 MME → HSS / AMF → UDM 통신을 가로채거나 감시
- 공격자는 유심 인증 정보를 대량 탈취한 것으로 추정됨
예상 피해 시나리오
- 복제 유심 제작 → 타인으로 위장한 통신망 접근
- SMS 인증 탈취 → 금융 서비스, SNS 계정 탈취
- SIM 스와핑 → 유심 교체를 가장한 본인 사칭
- 전화번호 기반 OTP 무력화 → 이중 인증 회피
IMSI와 KI 유출은 단순한 정보 유출을 넘어 디지털 신분 복제로 이어질 수 있는 심각한 보안 위협입니다.
대응 및 보안 강화 방안
- SKT는 전국 대리점을 통한 유심 무료 교체 진행 중
- 유심 보호 서비스 확대: IMEI와 유심을 매칭해 비인가 기기 차단
- 피해 발생 시 100% 보상 정책 선언
- 시스템 전수조사 및 인증 흐름 보안 강화 중
개인이 할 수 있는 보안 수칙
- 유심 교체 및 eSIM 전환 고려
- 2단계 인증 활성화
- 문자 기반 인증 최소화, OTP/생체인증 도입
- 수상한 문자, 이메일 절대 클릭 금지
이번 SKT 유심 해킹 사건은 단순한 정보 유출 사고가 아닌, 통신망 인증 체계 전체에 대한 위협으로 해석되어야 하며, 개인과 기업 모두 보안 인식을 새롭게 정립해야 하는 계기가 됩니다.
출처: 보안뉴스, 연합뉴스, KISA, Trend Micro 외