SKT 유심 해킹 사건 분석
2025년 4월, SK텔레콤의 핵심 인증 서버가 해킹되어 2300만 명의 유심 정보가 유출되는 초대형 보안 사고가 발생했습니다.
해커는 3년 넘게 탐지되지 않은 채 시스템에 잠복했고, 이는 단순한 유출을 넘어 통신 인프라 자체가 공격당한 사건으로 기록됩니다.
이 글에서는 이 사건의 핵심 내용과 보안적 시사점, 그리고 실무자로서 느낀 문제점들을 정리해 보았습니다.
💣 1. 사건 개요 : 통신 인프라를 정조준한 초대형 해킹
2025년 4월, SK텔레콤은 자사의 핵심 통신 서버인 HSS(Home Subscriber Server)가 해킹되어 약 2300만 명의 유심(USIM) 관련 정보가 외부로 유출되었다고 발표했습니다. IMSI, IMEI, KI(인증키) 등 민감한 인증 정보가 포함되어 있습니다.
해커는 최소 3년 전부터 내부 시스템에 악성코드를 설치하고 탐지되지 않은 채 잠복해 있었으며, 이는 단순한 정보 유출 사건을 넘어 통신 인프라의 근간을 뒤흔드는 APT(Advanced Persistent Threat) 공격으로 보안 업계의 큰 주목을 받았습니다.
2. 해킹은 어떻게 일어났는가?
1. 침입 경로 - VPN 장비의 취약점
해커는 SK 텔레콤 내부망에 접근하기 위해 VPN 장비의 보안 취약점 (CVE-2023-46805, Ivanti VPN)을 이용한 것으로 추정됩니다. 이 취약점은 인증 절차를 우회해 내부 시스템에 접근할 수 있게 해주는 심각한 보안 구멍입니다.
※ 다만 SK 텔레콤이 실제 Ivanti VPN을 사용했는지는 명확히 확인되지 않았으며, 보도에서는 가능성 수준으로 다루고 있습니다.
2. 내부 침투 및 HSS 서버 장악
침입 이후 해커는 내부에 악성코드를 심고, 3년 동안 탐지되지 않은 채 활동했습니다. 이는 APT 공격의 전형적인 양상으로, 단기간의 이득이 아니라 오랜 시간 핵심 정보를 모으는 전략입니다.
가장 심각한 점은 해커가 HSS 서버에 접근해, 가입자 인증 정보를 대량으로 수집했다는 사실입니다.
3. 핵심 용어들 설명
| 용어 | 설명 |
| USIM | 휴대폰에 들어있는 작은 칩. 통신사 인증과 연결에 사용된다. |
| IMSI | 사용자를 식별하는 고유 번호 (유심에 저장) |
| IMEI | 휴대폰 기기 고유 번호 |
| Ki | 통신사와 사용자 간의 비밀 인증키 |
| HSS | 가입자 정보를 저장하고 인증을 담당하는 핵심 서버 |
| APT | 오랜 기간 숨어 있는 지능형 지속 공격 |
| VPN | 원격 접속용 가상 사설망. 보안 취약점이 공격에 악용된다. |
4. 유심 인증 방식 : 어떻게 작동하고, 왜 중요한가?
통신사와 스마트폰은 서로를 상호 인증하는 구조로 연결됩니다. 이 과정에서 Ki가 핵심 역할을 합니다.
1. 스마트폰 (USIM)이 기지국에 IMSI 전송 => 인증 요청
2. 기지국이 HSS에 Ki 요청
3. HSS는 난수(RAND)와 함께 SRES 계산
4. 스마트폰에서도 동일한 Ki를 사용해 SRES를 계산
5. 두 값이 일치하면 인증에 성공하게 되고 통신이 연결됩니다.
즉, Ki가 유출되면 해커가 나인 것처럼 통신사 인증을 통과할 수 있습니다.
5. 유출된 정보로 가능한 공격 시나리오
| 위협 유형 | 설명 |
| 유심 복제 (SIM Cloning) | 해커가 내 번호로 인증 요청을 보낼 수 있게 된다. |
| 문자 / 통화 도청 | 2차 인증 수단 탈취 => 금융 OTP 가로채기 가능. |
| 스푸핑 공격 | 내 번호를 사칭해서 메세지 발송 또는 피싱 시도 |
| 통신 추적 | SS7/Diameter 프로토콜 악용 가능성 |
이는 단순한 개인정보 유출이 아니라, 피해자 그 자체로 위장해 행동할 수 있는 심각한 수준의 침해입니다.
6. 기술 구조 및 해커의 침투 경로 예상
1. VPN 장비 ( CVE-2023-46805 ) 취약점 이용 => 내부망 침입
2. 사내망 - 관리망 통해 HSS 접근
3. 악성코드 설치 => 장기간 잠복
4. 인증 정보 수집 (IMSI, Ki, IMEI 등)
5. 외부 유심 복제 및 스푸핑 가능
7. 피해 규모 및 SKT 고객들의 반응
- 피해자 수 : 2300만 명 (SKT 전체 고객의 약 90%)
- 사건 인지 시점 : 4월 24일, 정부 신고는 45시간 후
- 대응 : 전국 유심 무상 교체, USIM 보호 서비스 제공
- 고객 반응 : 번호 이동 급증 (4월 26일 하루만 1600건 이상)
- 단순 유출이 아니라, 통신 인프라에 대한 신뢰 붕괴로 이어졌다.
8. 보안 실무 관점에서 본 문제점
이 사건은 단순히 장비나 설정의 문제가 아니라, 보안 체계 전체의 무관심과 운영 실패가 얼마나 큰 위협이 될 수 있는지를 보여줬습니다.
1. 사실상 탐지 체계는 작동하지 않았다.
- 3년간 해커가 내부에 있었지만 어떤 경고도 없었다는 사실은 EDR과 XDR 등의 탐지 시스템이 구축되지 않았거나, 존재하더라도 제대로 운영되지 않았음을 의미합니다.
- 로그 관리와 모니터링 체계의 부재가 시스템 내부 침해를 감지하지 못하게 만든 중요한 원인입니다.
2. 통신 인프라 보안의 중요성에 대한 이해가 부족했다.
- 대부분의 보안 팀은 서버, 웹, 계정 위주로 보안 방어를 설정합니다.
- 그러나 해커는 핵심 통신 인프라인 HSS(Home Subscriber Server)나 Ki(Key Information)를 대상으로 침입을 시도했습니다.
- 이는 보안팀이 통신 인프라의 보안 중요성에 대해 충분히 인식하지 못했기 때문입니다.
3. 사고 대응 체계의 부재
- 사고를 인지한 후, 45시간 동안 아무런 대응도 없었다는 점은 기술적 문제보다는 운영과 커뮤니케이션의 실패를 드러냅니다.
- 사고 발생 후 누구에게 보고하고, 어떻게 대응할 것인지를 규정한 명확한 사고 대응 매뉴얼과 체계적인 운영 프로세스가 부재했던 것입니다.
9. 이번 사건을 통해 느낀 점
이 사건을 통해, 기술적 취약점보다도 관리 및 운영에 대한 무관심이 더 큰 위험을 초래할 수 있다는 중요한 교훈을 얻었습니다. 해커는 시스템에 이미 침입해 있었고, 로그나 이상 징후는 분명히 있었을 것입니다. 하지만 이를 모니터링하고 분석하는 담당자가 없었다는 점이 문제였습니다. 이를 보면서 기술적 장비나 시스템의 중요성도 느꼈지만 지속적인 모니터링과 책임감 있는 운영 태도가 보안에서 얼마나 더 중요한지 깨달았습니다.
또한 통신 인프라와 같은 우리가 잘 알지 못하는 시스템이 해커에게는 매력적인 타겟이 될 수 있다는 사실도 다시 한번 생각해볼 수 있었던 것 같습니다.
그리고 가장 큰 문제는 사고 이후의 대응이었던 것 같습니다. 사건 발생 후 누가, 언제, 어떻게 판단하고 알릴 것인지에 대한 명확한 매뉴얼이 부족했음을 알 수 있었습니다. 이는 기술적인 문제라기보다는 조직 내 보안 리더십의 부재라고 생각합니다.
보안은 단순히 사고를 예방하는 것에 그쳐서는 안 되며, 사고 발생 시 효율적인 대응과 체계적인 대응 절차가 필수적이라고 생각합니다.
10. 앞으로의 방향
이번 사건을 계기로, 저는 단순히 기술적인 보안에 대한 이해를 넘어서 운영과 보안 태도에 중점을 둔 보안 전문가로 성장하고자 합니다. 기술적 보안 장비나 시스템이 중요하다는 점은 분명하지만, 결국 이를 지속적으로 운영하고 모니터링하는 태도가 무엇보다 중요하다는 점을 확실히 깨달았습니다. 앞으로는 시스템의 정상적인 운영 여부와 이상 징후를 빠르게 식별하고 대응하는 능력을 키워 나갈 것입니다.
또한 사고 대응과 위기 관리에 대해서도 지속적으로 학습할 예정입니다. 사고 발생 시 명확한 절차와 판단 기준을 설정하고, 위협을 빠르게 인지하여 대응할 수 있는 실전 능력을 갖추기 위해 노력하겠습니다. 보안은 단순히 사고를 예방하는 것뿐만 아니라, 사고가 발생했을 때 효율적으로 대응할 수 있는 준비가 필수적인 분야임을 깨닫게 되었습니다.
앞으로도 보안에 대한 책임감을 가지고, 지속적인 관심과 실무 경험을 통해 더욱 성장하는 보안 전문가가 되겠습니다.
이 블로그는 불법 해킹 및 악의적인 활동을 지양하며, 그런 행위는 절대 권장하지 않습니다.
모든 실습은 허가된 환경에서만 진행해야 하며, 법적 책임은 사용자 본인에게 있습니다.