SKT 유심 정보 유출 사건 보고서

1. 사건 개요

2025년 4월 18일, SK텔레콤의 핵심 가입자 정보 관리 시스템인 HSS(Home Subscriber Server)가 악성코드에 감염되어 해킹 공격을 받았습니다. 이로 인해 고객의 유심(USIM) 관련 정보가 유출된 정황이 확인되었습니다. SK텔레콤은 4월 22일 공식적으로 이 사실을 발표하였으며, 유출된 정보에는 IMSI(이동가입자식별번호), 인증키(Ki), 단말기 고유식별번호(IMEI), 전화번호(MSISDN) 등이 포함된 것으로 알려졌습니다.

**<통신망 구조와="" HSS의="" 역할="">**

LTE 및 5G 이동통신망에서 HSS는 가입자 정보를 관리하고 인증하는 핵심 서버로, 가입자의 USIM에 저장된 IMSI와 Ki를 기반으로 네트워크 접속을 제어합니다. HSS는 사용자 인증, 위치 등록, 서비스 프로파일 관리 등의 기능을 수행하며, 통신 서비스의 보안과 신뢰성을 유지하는 데 필수적인 요소입니다.

**<유출된 정보의="" 구성과="" 위험성="">**

• IMSI (International Mobile Subscriber Identity): 가입자를 고유하게 식별하는 번호로, 네트워크 접속 시 사용됩니다.
• Ki (Authentication Key): USIM과 HSS 간 상호 인증에 사용되는 비밀 키입니다.
• IMEI (International Mobile Equipment Identity): 단말기의 고유 식별번호로, 기기 식별 및 추적에 사용됩니다.
• MSISDN (Mobile Station International Subscriber Directory Number): 가입자의 전화번호를 의미합니다.

이러한 정보가 유출되면 해커는 복제 유심을 제작하여 피해자의 통신 서비스에 무단 접속할 수 있으며, 이를 통해 보이스피싱, 금융 사기, 스미싱, 심 스와핑(SIM Swapping) 등의 2차 피해가 발생할 수 있습니다.

1. 사고 원인

**<침입 시점="" 및="" 초기="" 정황="">**

2025년 4월 18일 오후 6시 9분경, SK텔레콤 내부 시스템에서 비정상적인 데이터 이동이 감지되었으며, 이는 약 9.7GB에 달하는 트래픽으로 확인되었습니다. 같은 날 오후 11시 20분, 과금분석장비(PCRF)에서 악성코드 감염이 발견되었고, 이어 음성인증장비(HSS)에서 고객의 USIM 정보 유출이 확인되었습니다. 이러한 정황은 공격자가 주말 야간 시간대를 노려 보안 인력이 상대적으로 적은 시점을 이용하여 침투했을 가능성을 시사합니다.

**<악성코드 종류="" 및="" 특성="">**

한국인터넷진흥원(KISA)은 2025년 4월 25일, 최근 해킹 공격에 악용된 악성코드와 관련된 위협 정보를 공개하였습니다. 공개된 악성코드는 다음과 같습니다:

• hpasmmld: HP 서버 관리 서비스인 hpasmcli로 위장한 백도어 악성코드
• smartadm: 시스템 관리 도구인 smartctl로 위장한 백도어 악성코드
• hald-addon-volume: 리눅스 데몬인 hald-addon-acpi로 위장한 백도어 악성코드
• dbus-srv-bin.txt: D-Bus 관련 파일인 dbus-daemon으로 위장한 백도어 악성코드

이들 악성코드는 리눅스 기반 시스템에서 동작하며, 시스템에 침투하여 명령 제어(C&C) 서버와 통신하거나 민감 정보를 탈취할 수 있는 기능을 갖추고 있습니다. 특히, 이러한 악성코드는 기존 시스템 프로세스와 유사한 이름으로 위장하여 탐지를 어렵게 하며, 실행 후 자체 파일을 삭제하고 메모리 상에서만 동작하여 포렌식 분석을 방해합니다.

**<공격 IP="" 및="" 통신="" 경로="">**

KISA에 따르면, 이번 공격에 사용된 IP 주소는 165.232.174[.]130으로 확인되었습니다. 이 IP는 DigitalOcean의 클라우드 서비스 대역에 속하며, 과거에도 악성 행위와 관련된 이력이 있는 것으로 알려져 있습니다. 공격자는 이 IP를 통해 HSS 서버에 접근하여 악성코드를 설치하고, 고객의 USIM 관련 정보를 외부로 유출한 것으로 추정됩니다.

**<공격 방식="" 및="" 기술적="" 분석="">**

이번 공격에 사용된 악성코드는 ‘BPFDoor’로 추정됩니다. BPFDoor는 리눅스 및 솔라리스 시스템을 타깃으로 하는 스텔스형 백도어 악성코드로, Berkeley Packet Filter(BPF)를 활용하여 네트워크 패킷을 모니터링하고 특정 “매직 패킷”을 수신하면 활성화됩니다. 이러한 방식은 기존 포트를 활용하여 추가 포트를 열지 않고도 작동 가능해 탐지가 어렵습니다. 또한, 프로세스 이름을 일반적인 리눅스 데몬으로 위장하고, 파일을 삭제하며 타임스탬프를 조작하여 포렌식 분석을 방해합니다.

BPFDoor는 2021년 PwC에 의해 처음 공개되었으며, 중국 기반 APT 그룹인 Red Menshen과 연관된 것으로 알려져 있습니다. 이 악성코드는 통신, 정부, 물류, 교육, 금융, 소매 산업을 타깃으로 활동해 왔으며, 한국에서도 활동이 관찰되었습니다.

**<취약점 및="" 보안="" 허점="">**

공격자는 SK텔레콤 내부 시스템 또는 VPN 서버 등의 미확인 취약점을 통해 내부망에 접근했을 가능성이 제기되고 있습니다. 특히, SK텔레콤은 2025년 해킹 사태 이전에 사이버보안 예산을 감축한 것으로 나타났으며, 이는 보안 인프라 강화 부족으로 이어졌을 가능성이 있습니다. 전문가들은 예산 삭감이 보안 취약점을 간접적으로 악화시켰을 수 있다고 우려하고 있습니다.

1. 사후 대응 방안

<비정상 인증 시도 차단 시스템(FDS) 강화>

SK텔레콤은 이번 사고를 계기로 비정상 인증 시도 차단 시스템(Fraud Detection System, FDS)을 최고 수준으로 격상하여 운영하고 있습니다. FDS는 고객의 통신 서비스 이용 패턴을 실시간으로 분석하여, 평소와 다른 비정상적인 인증 시도를 탐지하고 차단하는 시스템입니다. 이를 통해 해커가 유출된 유심 정보를 악용하여 복제폰을 개통하거나, 금융 사기 및 보이스피싱 등의 2차 피해를 방지하고자 합니다.

<FDS 란?>

이상거래탐지시스템(FDS, Fraud Detection System)은 전자금융거래 시 단말기 정보와 접속 정보, 거래 정보 등을 수집 및 분석하여 이상 금융 거래를 차단하는 기술입니다. FDS는 고객의 위치 정보, 평소 거래 패턴, 접속 환경 등을 분석하여 비정상적인 거래를 탐지하고, 이를 통해 사기나 부정 행위를 예방합니다. 최근에는 인공지능(AI)을 활용하여 더욱 정교하고 고도화된 FDS가 개발되고 있습니다.

**<유심 보호="" 서비스="" 제공="" 및="" 확대="">**

SK텔레콤은 고객의 유심 정보 보호를 위해 ‘유심보호서비스’를 무료로 제공하고 있습니다. 이 서비스는 고객의 유심 정보가 복제되거나 탈취되더라도, 타 기기에서 해당 유심을 이용한 통신 서비스 접속을 차단하는 기능을 제공합니다. 2025년 4월 27일 기준, 전체 가입자(약 2,300만 명)의 약 24%에 해당하는 554만 명이 이 서비스를 이용하고 있습니다. SK텔레콤은 향후 유심보호서비스 가입자에게 유심 불법 복제 피해가 발생할 경우, 책임지고 보상할 계획입니다.

**<유심 무료="" 교체="" 서비스="" 실시="">**

SK텔레콤은 고객의 불안 해소를 위해 2025년 4월 28일부터 전국 2,600여 개의 T월드 매장과 공항 로밍센터에서 유심 무료 교체 서비스를 실시하고 있습니다. 온라인 예약 시스템을 통해 신청할 수 있으며, 현재 약 100만 개의 유심을 보유하고 있으며, 5월 말까지 약 500만 개를 추가로 확보할 예정입니다. 해외 로밍 중인 고객을 위해 공항 로밍센터의 인력을 50% 증원하여 서비스를 지원하고 있습니다.

**<명의 도용="" 방지="" 서비스="" 연계="" 및="" 개선="">**

SK텔레콤은 한국정보통신진흥협회(KAIT)가 운영하는 명의도용방지서비스 ‘엠세이퍼(M-safer)’와 연계하여 고객의 명의도용 피해를 방지하고자 합니다. 이 서비스는 이용자의 명의로 계약이 체결된 사실을 이동통신사업자가 문자메시지 또는 등기우편물로 알려주는 대국민 무료서비스입니다. 이를 통해 고객은 본인의 명의로 개통된 통신 서비스 현황을 실시간으로 확인하고, 명의도용을 사전에 차단할 수 있습니다.

**<명의 도용="" 방지="" 서비스의="" 의미와="" 중요성="">**

명의 도용 방지 서비스는 본인의 명의로 이동전화, 무선인터넷, 유선전화, 초고속인터넷, 인터넷 전화 등의 통신서비스가 신규 개통되었을 경우, 가입사실을 명의자 본인에게 문자로 알려주고 홈페이지를 통해 실시간 개통 현황을 확인할 수 있는 서비스입니다. 이를 통해 고객은 본인의 명의로 개통된 통신 서비스 현황을 실시간으로 확인하고, 명의도용을 사전에 차단할 수 있습니다.

**<고객 커뮤니케이션="" 및="" 보상="" 방안="">**

SK텔레콤은 사고 발생 이후 고객에게 사과 메시지와 함께 유심보호서비스 및 유심 무상 교체 안내를 순차적으로 진행하고 있습니다. 또한, 유심보호서비스 가입자에게 유심 불법 복제 피해가 발생할 경우, SK텔레콤이 책임지고 보상할 계획입니다. 해외 로밍 중인 고객이 유심 교체를 받지 못하고 출국하여 피해를 입을 경우에도 SK텔레콤이 책임지겠다고 밝혔습니다.

1. 예상되는 피해 시나리오

**<공인인증서 유출="" 가능성="">**

이번 사고로 인해 공인인증서가 유출될 수 있다는 우려가 제기되었으나, 현재까지의 분석에 따르면 그 가능성은 매우 낮습니다.

• 유심에 저장된 정보: 공인인증서가 유심에 저장되어 있는 경우도 있지만, 이번 해킹으로 유출된 정보는 서버에 저장된 전화번호와 유심 고유 번호(IMSI 등)로, 실제 유심 칩에 저장된 공인인증서 자체는 유출되지 않았습니다.
• 금융 거래 보안: 금융 거래 시에는 공인인증서 외에도 비밀번호, OTP 등 추가적인 인증 수단이 필요하므로, 유심 정보만으로는 계좌 접근이나 자금 이체가 어렵습니다.

따라서, 현재까지의 정보로는 유심 정보 유출로 인한 공인인증서 피해 가능성은 낮다고 판단됩니다.

**<복제폰을 통한="" 통신="" 가능성="">**

해커가 유심 정보를 이용하여 복제폰을 만들었을 경우, 해당 복제폰이 즉시 통신이 가능한지에 대한 우려가 있습니다.

• 복제폰의 통신 조건: 복제 유심을 장착한 단말기는 기존 사용자의 휴대전화가 꺼진 상태에서만 통신이 가능합니다. 즉, 해커가 복제폰을 활성화하기 위해서는 사용자의 휴대전화가 꺼져 있어야 하며, 이를 위해 해커가 사용자에게 ‘휴대전화를 재부팅하라’는 등의 메시지를 보낼 수 있습니다.
• 통신사 대응: SK텔레콤은 비정상적인 인증 시도를 탐지하고 차단하는 시스템(FDS)을 강화하여, 복제폰이 통신망에 접속하는 것을 방지하고 있습니다.

따라서, 복제폰이 즉시 통신이 가능하지 않으며, 통신사와 사용자의 주의가 필요합니다.

**<재부팅 요청="" 피싱="" 메시지="" 주의="" 필요성="">**

해커가 복제 유심을 이용하여 복제폰을 활성화하기 위해서는 기존 사용자의 휴대전화가 꺼져 있어야 합니다. 이를 위해 해커는 사용자에게 ‘휴대전화를 재부팅하라’는 등의 피싱 메시지를 보낼 수 있습니다. 사용자가 이러한 메시지를 믿고 휴대전화를 껐다가 켜면, 그 사이에 해커의 복제폰이 통신망에 접속하여 인증번호를 가로채거나, 계정 비밀번호를 변경하는 등의 피해가 발생할 수 있습니다. (“SKT 유심 정보 유출 가능성…확인되지 않은 보도 자제해야” : 네이트 …)

따라서, 출처가 불분명한 재부팅 요청 메시지를 받을 경우, 이를 무시하고 통신사에 직접 확인하는 것이 중요합니다.

**<스미싱 및="" 피싱="" 공격="" 증가="">**

유심 정보 유출로 인해 스미싱(SMS 피싱)이나 피싱(Phishing) 공격이 증가할 수 있습니다.

• 공격 방식: 해커는 유출된 전화번호를 이용하여 사용자에게 악성 링크가 포함된 문자메시지를 보내거나, 공공기관을 사칭하여 개인정보를 요구하는 등의 방법을 사용할 수 있습니다.
• 예방 조치: 사용자는 출처가 불분명한 문자메시지나 이메일의 링크를 클릭하지 말고, 의심스러운 메시지를 받을 경우 해당 기관에 직접 확인하는 것이 중요합니다.

**<명의도용 및="" 부정="" 개통="">**

유심 정보가 유출되면 해커가 이를 이용하여 명의도용이나 부정 개통을 시도할 수 있습니다.

• 심 스와핑(SIM Swapping): 해커가 피해자의 개인정보를 이용하여 통신사에서 새로운 유심을 발급받아 기존 번호를 탈취하는 방식입니다.
• 예방 조치: 명의도용 방지 서비스를 이용하여 본인의 명의로 개통된 통신 서비스 현황을 실시간으로 확인하고, 이상 징후가 있을 경우 즉시 통신사에 신고하는 것이 필요합니다.
  1. 사전 예방 방안

**<유심보호서비스 가입="">**

SK텔레콤은 유심보호서비스를 통해 타인이 임의로 유심을 사용하거나 다른 휴대폰에 장착하여 통신 서비스를 이용하는 행위를 방지합니다. 이 서비스를 이용하면 다른 휴대폰에 나의 정보가 담긴 유심이 장착되더라도 통화 사용이 불가능하고, 로밍 사용도 제한되어 해외 부정 사용도 막을 수 있습니다. SK텔레콤은 유심보호서비스에 가입했음에도 이용자 피해가 발생하는 경우 100% 보상할 계획입니다.

<비정상 인증 시도 차단 시스템(FDS) 강화>

비정상 인증 시도 차단 시스템(Fraud Detection System, FDS)은 고객의 통신 서비스 이용 패턴을 실시간으로 분석하여, 평소와 다른 비정상적인 인증 시도를 탐지하고 차단하는 시스템입니다. 이를 통해 해커가 유출된 유심 정보를 악용하여 복제폰을 개통하거나, 금융 사기 및 보이스피싱 등의 2차 피해를 방지할 수 있습니다.

**<유심 비밀번호="" 설정="">**

유심에 비밀번호를 설정하면 유심 기변을 시도할 때마다 설정한 비밀번호를 입력해야 하므로, 타인이 무단으로 유심을 사용할 수 없습니다. 이를 통해 유심 복제 및 SIM 스와핑(SIM Swapping) 공격을 예방할 수 있습니다.

****

eSIM(embedded SIM)은 물리적인 SIM 카드 없이도 통신 서비스를 이용할 수 있는 기술로, 물리적인 SIM 카드의 도난이나 복제를 방지할 수 있습니다. 또한, eSIM은 통신사에서 원격으로 관리할 수 있어 보안성이 높습니다.

**<통신사 계정="" 보안="" 강화="">**

통신사 계정에 강력하고 고유한 비밀번호를 설정하고, 2단계 인증(2FA)을 활성화하여 계정 보안을 강화해야 합니다. 또한, 의심스러운 활동에 대한 계정 모니터링을 통해 비정상적인 변경 사항이 있는지 정기적으로 확인해야 합니다.

**<피싱 사기="" 주의="">**

해커는 피싱 이메일이나 문자 메시지를 통해 개인 정보를 탈취하려고 시도할 수 있습니다. 출처가 불분명한 메시지나 이메일의 링크를 클릭하지 말고, 의심스러운 메시지를 받을 경우 해당 기관에 직접 확인하는 것이 중요합니다.

1. 출처
   • SKT 유심 정보 유출 사태 : 뱅킹, 주식, 코인, 인증 다 털리기 싫으면 …,
   • [Q&AI] SKT 유심 해킹 비상…어떤 문제 우려되나 - 지디넷코리아

SKT 유심 정보 유출 사태 : 뱅킹, 주식, 코인, 인증 다 털리기 싫으면 …

• SKT 해킹 사건, 왜 유심을 꼭 바꿔야 할까? - 요즘IT
• 2025.04.18 SK텔레콤(SKT) 해킹사태 : 유심(USIM) 정보 유출 사고
• [KISA] 최근 해킹공격에 악용된 악성코드, IP 등 위협정보 공유 및 주의 …
• 2025.04.18 SK텔레콤(SKT) 해킹사태 : 유심(USIM) 정보 유출 사고)
• [현장칼럼] 해킹 사고 확산, 외양간 확실히 고쳐야 - 디지털타임스, 2025.04.18 SK텔레콤(SKT) 해킹사태 : 유심(USIM) 정보 유출 사고
• [알쓸IT잡] FDS 란? (이상거래탐지시스템, Fraud Detection System), FDS(이상거래탐지시스템) - 토스페이먼츠 개발자센터, 인공지능으로 금융사기 잡는 FDS 이해하기 - 투이컨설팅
• Msafer 명의도용방지서비스, 휴대전화 명의도용 - 찾기쉬운 생활법령정보
• 이용자피해예방가이드 - 에넥스텔레콤

“SKT 유심 정보 유출 가능성…확인되지 않은 보도 자제해야” : 네이트 …

Tags: network security