🔎 3줄 요약
- SKT의 핵심 인증 서버(HSS)가 해킹당하면서 약 2,300만 명의 유심 정보가 유출되는 초유의 보안 사고가 발생했습니다.
- IMSI·Ki 등 통신망 인증에 사용되는 민감한 정보가 유출돼, 유심 복제 및 통신망 인증 위조 등의 위험성이 제기되는데요.
- 피해 방지를 위해 유심보호서비스 가입 및 유심 교체, eSIM 전환 등이 필요합니다.
지난 4월 22일, 국내 가입자 수 1위 통신사인 SKT에서 역대 최악의 개인정보 유출 사고가 발생했습니다. 통신사 정보 유출 사고는 이번이 처음은 아니지만, 피해 규모가 전례 없이 큰 데다가 핵심 인프라 시설이 해킹당했다는 점에서 대형 해킹 사고로 꼽히는데요. 수많은 정보 속에 불안감만 커지는 지금, SKT 개인정보 유출 사고에 대해 자세히 알아보겠습니다.
해킹 사건, 사건의 전말
🔐 SKT 개인정보 유출 사건
이번에 해킹당한 시설은 SK텔레콤의 핵심 인프라 중 하나인 HSS(Home Subscriber Server) 서버입니다. 공격자는 가입자의 통신 인증에 필요한 정보들을 목표로 했고, 이는 실제 통신망을 조작하거나 스푸핑, 위치 추적, 금융 범죄 등으로 악용될 수 있는 수준의 정밀한 침입이었습니다.
🔍 스푸핑(Spoofing): 누군가를 가장해서 속이는 기술을 뜻하는 용어입니다. 해커가 전화번호, 이메일 주소 등을 위조한 다음, 받는 사람이 진짜인 줄 알고 믿게 만드는 사이버 공격을 말하는데요. 사기 전화, 인증 우회 등 범죄에 사용되며 보이는 정보와 실제 발신자가 다르다는 게 핵심입니다.
📱 해킹의 규모는?
이번 사건으로 유출된 정보 데이터는 무려 9.7GB에 달하는데요. 문서 파일로 치면 300쪽 분량의 책 9천 권에 해당하는 양으로, 사실상 가입자 전원의 정보가 털렸을 가능성이 높게 점쳐지죠.
과학기술정보통신부에서는 이번 SKT 사고 조사를 위해 민관합동조사단을 꾸려 1차 조사를 완료하고 지난난달 29일 조사 결과를 발표했습니다. 유출된 정보에는 IMSI(가입자식별키), ICCID(유심카드 일련번호), 가입자 인증키(Ki), 전화번호(MSISDN) 등이 포함됐으며, 다행히 IMEI(단말 고유 번호)는 저장 구조상 유출되지 않은 것으로 밝혀졌습니다.
🔍 IMEI(International Mobile Equipment Identity, 단말 고유 번호): 하나의 기기에 하나씩 부여되는 고유의 일련번호입니다. 통신사에서는 이 번호를 통해 어떤 기기인지, 정품인지, 분실기기인지 등을 확인할 수 있습니다. 1차 조사 결과, 다행히 이번 SKT 해킹 사건에서는 해당 정보가 유출되지 않은 것으로 알려졌습니다.
이런 인증 관련 정보는 통신망 인증과 암호화에 쓰이는 디지털 열쇠라고 할 수 있습니다. 해커가 이 정보를 바탕으로 통신망에 접근하거나 인증 절차를 우회하게 된다면, 피해자의 휴대폰이 네트워크에서 차단되거나 범죄에 악용될 위험이 큽니다.
공격당한 HSS 서버
🧠 HSS 서버가 뭐야?
HSS(Home Subscriber Server)는 LTE와 5G 통신망에서 가장 핵심적인 역할을 하는 네트워크 서버입니다. 통신사 내부에서 가입자의 신원과 서비스 정보를 관리하는 두뇌 같은 존재죠.
HSS에는 가입자의 전화번호, 유심 정보, 인증키, 요금제, 부가 서비스 설정, 위치 정보 등이 모두 저장돼 있습니다. 우리가 스마트폰을 켰을 때, 통신망에 자동으로 연결되고 인터넷이 되는 이유는 HSS에서 '이 유심은 유효하다'라는 인증을 내려주기 때문인데요. 실제 통신 과정에서는 MME(Mobility Management Entity)라는 장비가 HSS와 연결돼, 단말기 접속 요청이 들어올 때마다 인증을 확인합니다.
⚠️ 유출된 주요 정보의 종류
1차 조사 결과에 따르면, 유심 복제에 활용될 수 있는 4종과 유심 정보 처리 과정에 필요한 SKT 관리용 정보 21종이 유출된 것으로 확인됐습니다. 이는 통신망 인증에 활용되는 민감한 정보들인데요. 그중 가장 핵심적인 정보를 정리해보면 다음과 같습니다.
- IMSI(International Mobile Subscriber Identity, 국제 이동 가입자 식별 번호): 유심칩마다 부여되는 고유한 ID로, 통신사가 사용자 개개인을 구분할 때 사용합니다.
- ICCID(Integrated Circuit Card Identifier, 유심 카드 일련번호): 유심칩 고유의 일련번호로서, 유심을 복제할 때 필요한 값 중 하나입니다.
- 가입자 인증키(Ki): 유심과 HSS서버가 공유하고 있는 암호화키로, 통신망 인증의 핵심입니다. 이게 유출되면 통신망이 공격자를 진짜 사용자로 착각하게 됩니다.
- MSISDN(Mobile Station International Subscriber Directory Number, 전화번호): 우리가 알고 있는 일반적인 휴대전화 번호입니다. 다른 정보와 함께 유출되면 사칭, 스푸핑 등에 악용될 수 있습니다.
- 기타 연동 정보: 가입자의 서비스 설정, 로밍 정보, 위치 추적 관련 데이터 등이 일부 유출된 것으로 파악되고 있습니다.
😈 BPFdoor를 통한 공격
이번 사건에서 해커는 SKT 내부망에 침투한 뒤, HSS 서버에 BPFDoor라는 악성코드를 설치했습니다. 이 BPFDoor는 리눅스 운영체제에 존재하는 BPF(베클리 패킷 필터)라는 기능을 악용한 프로그램인데요. BPF는 원래 네트워크 트래픽을 분석하거나 제한하는 데 사용되는 도구였지만, 해커들은 이걸 비밀 통신 통로처럼 활용했습니다. BPFDoor는 외부에서 특정한 신호를 보냈을 때만 활성화되도록 설계돼 있기 때문에 일반적인 보안 시스템이나 방화벽으로는 탐지하기 매우 어렵고 로그 기록도 남지 않도록 조작할 수 있습니다. 그만큼 오래 숨어 있으면서 민감한 데이터를 천천히 탈취하기 좋은 도구인 셈이죠.
이 BPFDoor 악성코드는 중국계 APT 그룹인 '레드멘션(Red Menshen)'이 사용한 것으로 유명합니다. 레드멘션은 2021년부터 동아시아와 동남아시아의 정부 기관, 통신사, 교육기관, 에너지 기업 등을 대상으로 지속적인 해킹 활동을 벌여온 조직인데요. 내부망에 백도어를 설치한 후, 수개월에서 수년 동안 흔적 없이 잠복하며 정보 탈취를 이어가는 전형적인 스파이형 공격 수법을 사용하는 것으로 알려져 있습니다. 이번 SKT 해킹 역시 유사한 전술이 사용되었다는 분석이 나오죠. 다만, 해당 악성 파일을 만드는 데 필요한 자료가 이미 온라인상에 공개돼 있기 때문에 온전히 중국 해커의 소행으로 단정하긴 어렵습니다.
🤔 HSS, 어떻게 해킹된거야?
한편, 폐쇄돼있는 분리망인 HSS망이 해킹됐다는 점에서 내부자 개입 여부 가능성도 조사 중입니다. 보안 전문가들은 높은 격리 수준의 폐쇄망이 뚫리려면 내부 도움이나 실수가 없이는 어렵다고 지적하는데요. 실제로 역대 통신사 고객정보 유출 사건들은 과거에도 직원 공모나 관리 소홀 등 내부 요인으로 발생한 사례가 많죠. 물론 내부 직원이 해커와 고의로 공모했을 가능성은 낮겠지만, 직원들의 부주의나 보안불감증이 망 분리의 울타리에 예상치 못한 틈을 만들었을 수 있습니다.
어떤 위험성이 있나?
🪪 내 유심, 복제될 수도 있다고?
이번 SKT 해킹 사건에서 가장 핵심적인 위협은 사용자들의 유심이 복제돼 악용될 수 있다는 점입니다. 통신망 인증 구조의 핵심을 이루는 IMSI와 Ki가 함께 유출된 탓에 단순 개인정보 유출과는 차원이 다른 문제로 여겨지죠.
IMSI는 유심마다 부여되는 고유 번호로, 특정 사람이 특정 번호의 사용자라는 걸 통신망이 확인할 때 사용하는 ID입니다. Ki는 통신망과 유심칩이 공유하고 있는 비밀 키인데요. 이동통신망에서 인증을 할 때 Ki를 기반으로 인증 응답 값을 만들어 냅니다. 이 두 값은 보통 절대 외부에 공개되지 않으며, 어느 한쪽이 유출돼도 정상적인 인증이 어려워집니다. 그런데 이번 사고에서는 이 두 값이 모두 유출된 것으로 확인됐습니다. 이 두 정보가 함께 유출되면 위험한 이유는 바로 통신망 인증 방식에 있습니다. 통신망에서는 가입자의 유심이 진짜인지 확인하기 위해 AKA 프로토콜이라는 인증 절차를 사용하는데요.
🔍 AKA 프로토콜
- 통신사 서버(HSS)는 무작위 숫자(RAND)와 인증용 토큰(AUTN)을 만들어 유심으로 보냅니다.
- 유심은 이 값과 자신 안에 저장된 Ki와 시퀀스 번호(SQN)를 이용해 복잡한 계산을 하고, 그 결괏값을 다시 통신사에 보냅니다.
- 통신사는 응답 값이 예상한 값과 일치하는지 확인한 뒤, 일치하면 접속을 허용합니다.
이때 만약 해커가 IMSI, Ki뿐 아니라 이 과정에 사용되는 RAND, AUTN, 그리고 인증 연산의 내부 값들(Ci, Ri 등)까지 알고 있다면, 굳이 유심이 없어도 해커의 기기에서 인증 과정을 복제해 똑같이 실행할 수 있습니다. 통신사 입장에서는 이 복제 유심을 진짜 유심으로 인식하게 되는데요. 해커가 문자 인증, 전화 수신, OTP 인증 등을 모두 대신 받아볼 수 있게 되는 무서운 일이 일어날 수도 있죠.
💥 가능한 공격 시나리오?
- 심 스와핑: 최근 뉴스나 온라인 커뮤니티에서 이번 SKT 해킹 사건을 심 스와핑으로 표현하는 경우가 종종 있는데, 실제로는 이번 사건과는 관련이 없는 유형의 공격입니다. 심 스와핑이란, 해커가 자신의 유심을 피해자의 유심인 것처럼 등록한 뒤 통신사 전산 자체를 조작하는 수법인데요. 이번 사건은 전산을 속이는 것이 아닌 HSS 서버 해킹으로 정보가 유출된 사례인 데다가, IMEI가 유출되지 않은 상황이기 때문에 심 스와핑보다는 심 클로닝(유심 복제) 방식의 범죄 우려가 더 큽니다.
- 심 클로닝(유심 복제): IMEI는 유출되지 않은 상태에서, 해커가 IMSI와 Ki 등의 유심 정보를 복제한 뒤 다른 스마트폰에 넣어 악용하는 방식입니다. 이번 해킹 사건에서 가장 조심해야 할 공격 시나리오 중 하나죠. 이때 통신사 입장에서는 유심만 바뀐 게 아니라 기기도 바뀌었다고 인식하게 되는데요. 보통 이런 상황은 정상적인 기기 변경으로 간주되지만, SKT는 2023년 이후부터 전원 OFF 없이 유심을 바꾸는 행위에 대해 접속을 막고 있습니다. 그래서 해커가 해당 방식으로 몰래 접근하려면, 피해자에게 "폰을 껐다 켜보라"는 식으로 유도할 수 있어 각별한 주의가 필요합니다.
- 심 클로닝 후 IMEI 변조: 가장 위험한 공격 시나리오입니다. 해커가 유심 정보뿐만 아니라, IMEI 정보까지 탈취한 뒤 이를 복제하거나 위조해서 완전히 똑같은 조건으로 통신망에 접속하려는 시도입니다. 이렇게 되면 통신망 입장에서는 해커와 진짜 사용자를 구분하기 어려워지는데요. 이럴 때는 이상 징후를 분석하는 FDS(이상탐지시스템)가 작동합니다. 예를 들어, 어떤 가입자가 서울 관악구에서 접속 중인데 갑자기 마포구에서 인증 요청이 들어온다면 이상 패턴으로 인식돼 접속이 차단될 수 있죠.
어떤 대처법이 가장 효과적일까?
✅ 유심보호서비스
유심보호서비스는 가입자의 유심과 IMEI를 1:1로 매칭해 등록된 단말기 외의 기기에서는 해당 유심이 작동하지 않도록 통신망 차원에서 차단하는 기능입니다. 즉, 유심이 복제돼 다른 스마트폰에 장착되더라도 IMEI가 일치하지 않으면 네트워크 접속이 원천적으로 차단되는 거죠. 이는 심 스와핑이나 유심 복제 공격으로부터 사용자를 보호하는 효과적인 방법입니다.
SKT는 이번 해킹 사건 이후 모든 가입자에게 이 서비스를 무료로 제공 중이며, 현재 별도의 신청 없이도 자동으로 가입되도록 시스템을 개편했습니다. 보호 서비스가 활성화되면 본인의 유심이 등록되지 않은 기기에서 사용될 경우 자동으로 접속이 거부되며, 이상 징후로 탐지돼 보안 알림이 제공될 수 있죠. 다만, 현재로선 해외 로밍 사용 시 활용이 어려운 방법인데요. SKT는 5월 내에 해당 문제를 해결하는 기술 업데이트를 계획하고 있습니다.
✅ 유심 교체
가장 근본적인 보안 조치는 유심 자체를 교체하는 것입니다. 유심을 새롭게 발급받으면 통신사는 해당 사용자에게 새로운 IMSI와 Ki 값을 할당하게 되며, 통신망 인증에 사용되는 핵심 데이터가 변경되는데요. 해커가 기존에 유출한 IMSI-Ki 쌍은 더 이상 사용할 수 없게 돼 공격의 실효성을 원천 차단할 수 있습니다.
SKT는 해킹 사고 직후부터 전국 대리점 및 고객센터를 통해 무상 유심 교체를 시행하고 있으며, 일부 고객에게는 택배 배송으로 유심을 수령할 수 있는 비대면 절차도 마련했습니다.
✅ eSIM 전환
eSIM은 embedded SIM 또는 electronic SIM으로 불리는 내장형 유심입니다. 기존의 물리적 유심칩과 달리, 스마트폰이나 웨어러블 기기 내부에 내장된 칩에 통신사 프로필을 다운로드해 개통을 진행하는 방식인데요. eSIM 또한 새로운 유심으로 교체하는 것과 효과가 동일하므로 새로운 IMSI와 Ki 값을 할당받을 수 있습니다.
eSIM은 유심을 분실하거나 다른 사람에게 복제 당할 물리적인 위험이 낮다는 점에서 보안성이 높으며, 기기 분실이나 유심 슬롯 교체 없이도 통신사를 바꾸거나 유심을 재발급받을 수 있어 편의성 또한 뛰어납니다. 또한 eSIM 프로파일은 통신사 인증 서버(SM-DP+)를 통해 안전하게 전달되며, 승인된 절차 없이는 접근할 수 없도록 설계돼 있죠.
✅ 타 통신사로 이동
번호이동을 통해 타 통신사로 전환하는 것도 하나의 대응책이 될 수 있습니다. SKT에서 유출된 IMSI, Ki 등은 SKT 네트워크 내에서만 유효한 정보입니다. 번호이동을 통해 KT나 LGU+ 등 다른 통신사로 전환하면 새로운 유심이 발급되고, 해당 통신사의 새로운 인증 정보가 생성되는데요. 결과적으로 기존에 유출된 정보는 더 이상 사용할 수 없게 되는 셈이죠.
이 방식은 특히 유심 교체가 여의치 않거나, SKT의 대응 수준에 불안을 느낀 사용자들이 심리적 안정을 찾기 위해 고려할 수 있는 방안입니다. 정보 유출 이후 자신의 통신 환경을 리셋하는 하나의 강력한 수단이라는 점에서, 보다 근본적인 보안 전환을 원하는 사용자에게는 의미 있는 선택일 수 있습니다.
이번 SKT 해킹 사건은 단순한 정보 유출을 넘어, 통신망의 핵심 인증 구조까지 위협받은 이례적인 보안 사고였습니다. 디지털 인프라에 대한 공격이 점점 정교해지는 만큼, 기업의 보안 체계 역시 더 이상 사후 대응이 아닌 선제적 예방 중심으로 전환돼야 할 시점입니다. 이용자들 역시 자신의 통신 환경과 보안 설정을 주기적으로 점검하고, 새로운 인증 기술이나 보호 서비스에 관심을 가질 필요가 있겠죠. 이번 사건을 계기로 통신사와 정부의 위기 대응 프로세스, 사용자 고지 절차, 그리고 개인정보 보호 체계 전반에 대한 재점검이 이뤄지길 기대해 봅니다.
