Computer Science 관련 공부를 하고 있는 대학원생으로, SKT 해킹 사고에 관심을 안 가질 수가 없었다. 오늘은 해킹 사고에 대해서 정리를 해보는 시간을 가져보려고 한다.

1. 사건 개요

2025년 4월, SK텔레콤은 자사 4G/5G 가입자 인증 서버(HSS; Home Subscriber Server)가 악성코드에 감염되어, 일부 고객의 USIM 관련 인증 및 식별 정보가 유출된 정황을 확인하고 이를 공식 발표했다. 유출된 데이터에는 이름, 주소, 주민등록번호 등 일반적인 신상 정보는 포함되지 않았지만, USIM 고유식별번호(ICCID), 국제이동가입자 식별번호(IMSI), SIM 키(Ki) 등 통신 인증에 직접적으로 사용되는 고위험 인증 정보가 다수 포함되어 있었다. 이 데이터는 원칙적으로 외부에서 접근이 차단되어야 하는 민감한 정보로, 유심 복제나 신원 도용 등 2차 사이버범죄로 연결될 수 있는 심각한 위협을 내포한다.

2. 공격 흐름 및 기술적 분석

■ 공격 탐지 및 초기 대응

2025년 4월 19일 오후 11시경, SKT 보안관제 시스템은 HSS 서버 내에서 비정상적인 프로세스와 네트워크 활동을 감지했다. 해당 시간은 주말 심야로, 조직의 대응 역량이 저하된 시점을 노린 전형적인 APT(Advanced Persistent Threat) 스타일의 공격 타이밍이었다. SKT는 즉시 관련 서버를 격리하고 악성코드를 제거했으며, 20일에는 KISA(한국인터넷진흥원)에 해당 사건을 정식 신고하고 디지털 포렌식 조사를 착수했다.

■ 침투 경로 및 내부 이동 (Lateral Movement)

사고에 대한 내부 보안 분석 결과, 공격자는 외부 접근이 가능한 시스템(VPN 게이트웨이, 개발자 포털 등)의 인증 정보를 탈취한 뒤 내부망으로 침입한 것으로 파악된다. 이후 권한 상승(privilege escalation)을 통해 자산관리시스템(NAMS/FIMS), 인증 인프라(ADFS, OAuth 등), 가입자 인증 서버(HSS) 등 핵심 시스템에 순차적으로 접근하였다.

특히 공격자는 다중 인증(MFA) 우회 및 관리자 권한 탈취, 파일리스 악성코드 삽입 등 고도화된 기법을 활용했으며, HSS 내에 저장된 가입자 인증 정보를 은밀하게 추출한 정황이 포렌식 과정에서 드러났다.

■ 정보 탈취 및 은폐 전략

해당 공격은 일반적인 랜섬웨어나 금전적 요구 없이 조용히 이루어졌으며, 해커는 탈취된 데이터를 외부로 전송한 뒤 로그 조작 및 흔적 제거를 통해 공격 사실을 감추려 했다. 이처럼 전면적 파괴가 아닌 은닉형 침투는 정보수집이 주요 목적이었던 것으로 보이며, 전문가들은 이를 바탕으로 국가 지원형 APT 조직의 소행 가능성을 제기하고 있다.

3. 유출 정보의 범위 및 위험성

■ 유출된 정보

SKT와 KISA가 공개한 바에 따르면, 유출된 정보에는 다음과 같은 통신 식별자 기반 인증 데이터가 포함되었다:

• ICCID (Integrated Circuit Card Identifier) – 유심의 일련번호

• IMSI (International Mobile Subscriber Identity) – 통신망 내 개인 식별 정보

• SIM Ki (SIM 암호 키) – 인증 과정에서 네트워크와 단말 간 상호 검증에 사용

• 가입자 식별 토큰 및 일부 통화/데이터 접속 기록

이들 정보는 유심 복제를 통한 통신 사칭, 불법 인증 시도, 스미싱·피싱 공격의 표적화 등에 악용될 수 있으며, 군·공공기관 인사들의 통신 메타데이터까지 유출됐을 가능성이 제기되면서, 해당 사고는 단순한 기업 보안 문제를 넘어 국가안보적 사안으로 확장되었다.

■ 피해자 식별 어려움

SKT는 현재까지 해당 정보가 실질적으로 악용된 정황은 없다고 밝혔으나, 복제된 유심을 통한 비가시적 피해(예: 위치 추적, 음성도청, 메타데이터 분석)는 일반 사용자가 인지하기 어렵고, 향후에도 피해 인과관계 입증이 어려운 구조이다.

4. 공격자 성격 및 국가안보적 시사점

해당 공격은 기존의 상업적 목적 해킹과는 달리, 은밀성, 고도화된 침투 기술, 전략적 시간대 선택, 장기 정보 수집의 정황 등을 감안할 때, APT 조직(Advanced Persistent Threat)의 행위로 분석된다. 이는 과거 중국의 APT41, 북한의 Kimsuky, 러시아의 Sandworm 등 국가 단위 해킹 조직들이 수행했던 방식과 유사하며, 전문가들은 본 사건이 한국의 통신 기반 구조에 대한 국가 간 정보전(戰)의 일부일 가능성을 제기하고 있다.

특히 SKT는 민간 통신사이면서도 국가 주요 기반시설 통신망, 공공기관 및 군 내부망 중계 역할을 일부 수행하고 있어, 보안 사고가 단순 기업 손해에 그치지 않고 국가 안보 위협으로 전이될 수 있다.

5. 사후 조치 및 구조적 과제

■ SKT의 대응

SKT는 사고 직후 다음과 같은 대응 조치를 발표했다:

• 유심 보호 서비스 무상 제공 및 재발급 확대

• 비정상 인증 시도 차단 체계 강화

• 피해 고객 대상 이용 정지 및 보안 컨설팅 지원

• 한국인터넷진흥원 및 경찰과의 공조 수사

■ 향후 과제

• 다중 인증 체계(MFA) 강화 및 내부망 접근 최소화

• Zero Trust Architecture 기반의 보안 모델 도입

• 임직원 대상 사회공학 대응 훈련 정례화

• 실시간 침입 탐지 및 위협 인텔리전스 연계

  
  

2025년 SKT 유심 해킹 사건은 단순한 정보유출을 넘어, 통신사와 국가 인프라가 고도화된 사이버 공격에 얼마나 취약할 수 있는지를 보여주는 사건이다. 공공성과 상업성을 동시에 지닌 통신사의 특수성을 고려할 때, 이번 사건은 기업 차원의 보안 개선을 넘어서 정부 차원의 통합 대응체계 구축이 시급함을 강하게 시사한다. 사이버 보안은 더 이상 IT 부서의 문제가 아니다. 그것은 곧, 국가의 지속가능성과 주권에 관한 문제다. 하지만 SKT는 유심 보호 서비스를 한 경우에 대해서만 책임을 지겠다는 굉장히 소극적인 태도를 하고 있다. 현 SKT 사용자인 나는 굉장히 이 사실에 화가 날 뿐더러, 적어도 디지털에 친숙하지 않은 노년층에 대해서는 서비스를 자동 가입을 해야하지 않았나 하는 생각이 든다. 빨리 이 문제가 해결 되길 바란다.