SK텔레콤 유심 해킹 사건 개요 및 경과

2025년 4월 19일 저녁 SK텔레콤(SKT)의 내부 시스템에서 해커의 악성코드 침투가 탐지되었고, 고객 USIM(유심) 관련 일부 정보가 유출된 정황이 확인되었습니다 ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

SKT는 4월 22일 이에 대해 공식 발표하며, “4월 19일 오후 11시경 악성코드 감염으로 일부 유심 정보 유출 정황을 발견했다”고 밝혔습니다 (SK텔레콤에서 알려드립니다 – SK텔레콤 뉴스룸).

이후 SKT는 즉시 악성코드를 삭제하고 해킹 의심 장비를 분리 격리하였으며, 추가 피해를 막기 위해 전체 시스템을 전수 조사 중이라고 발표했습니다 (SK텔레콤에서 알려드립니다 – SK텔레콤 뉴스룸) (사이버 침해 사고 관련 FAQ – SK텔레콤 뉴스룸).

사건이 알려지자 과학기술정보통신부, 한국인터넷진흥원(KISA), 개인정보보호위원회(개보위), 서울경찰청 사이버수사대 등이 즉각 조사에 착수했습니다. 과기정통부는 비상대책반을 구성해 SKT 본사 현장조사에 나섰고, KISA 전문가를 파견해 원인 분석과 자료 보존 조치를 진행 중입니다 ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

개인정보위는 유출 경위와 규모, 보안 의무 이행 여부 등을 조사하며, 필요 시 엄정 조치를 예고했고 ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea),

경찰은 해커의 정체와 침투 경로를 밝히기 위해 수사에 나섰습니다 ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

한편 SKT 대표이사 유영상 사장은 4월 25일 기자설명회를 열어 “4월 18일 발생한 침해 사고로 고객 여러분께 심려를 끼쳐 진심으로 사과드린다”고 공식 사과했습니다 ([전문] 개인정보 유출에 고개 숙인 유영상 SKT CEO "유심 무료교체") ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

이후 SKT는 4월 28일부터 전국 T월드 매장과 공항 로밍센터에서 모든 가입자에게 유심 무료 교체 서비스를 제공하기 시작했습니다 (사이버 침해 사고 관련 FAQ – SK텔레콤 뉴스룸). 언론 보도에 따르면 4월 28일 서울의 한 SKT 매장 앞에는 교체를 원하는 고객들이 긴 줄을 서는 등 대혼잡이 벌어졌습니다 (Free USIM replacement for customers after network hacking incident | Yonhap News Agency).

해킹 수법 및 공격 방식

이번 해킹의 핵심은 SKT의 **핵심 네트워크 서버(가입자 인증 서버)**가 공격당했다는 점입니다. 보안 업계 분석에 따르면 공격자는 SKT 내부의 Home Subscriber Server(HSS), 즉 4G/5G 가입자 인증 정보를 관리하는 핵심 데이터베이스에 악성코드를 심었습니다 (SK Telecom 2025 Cyberattack Incident ) (SKT’s delayed response to hacking incident fuels consumer anxiety).

HSS에는 가입자의 고유 식별번호(IMSI), 단말기 고유번호(IMEI), 유심 인증키 등 중요한 정보가 저장돼 있습니다. 공격 당시 악성코드는 4월 19일 오후 11시경 HSS에 설치되어 약국 상태였고, 이를 통해 가입자 유심 데이터가 외부로 유출된 것으로 파악되었습니다 (SK Telecom 2025 Cyberattack Incident ) (SKT’s delayed response to hacking incident fuels consumer anxiety).

유출된 정보는 주로 유심 고유식별번호와 암호키 등으로 알려졌으며, 이름·주민등록번호 등 민감한 개인 정보는 포함되지 않은 것으로 SKT는 밝혔습니다 ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea) ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

그러나 유심 데이터가 유출되면, 이를 이용해 유심을 복제(대포폰 개통)하거나 본인 인증을 가로채는 SIM 스와핑·스미싱·보이스피싱 등의 2차 범죄에 악용될 위험이 있습니다 ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea) ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

실제로 업계에서는 “유출된 IMSI·인증키로 복제폰을 만들 수 있고, SMS 인증을 무력화해 금융범죄도 일으킬 수 있다”는 우려가 제기되고 있습니다 ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea) ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

공격자는 악성코드 설치를 위해 내부 시스템 취약점이나 관리자 VPN(원격접속) 계정을 악용했을 가능성이 거론됩니다. 보안 분석가들은 SKT의 네트워크 자산관리 시스템(NAMS)이나 VPN 게이트웨이를 통해 침투한 뒤 HSS까지 접근했을 수 있다고 보고 있습니다 (SK Telecom 2025 Cyberattack Incident ).

다만 SKT는 구체적인 공격 경로를 공개하지 않았으며, 경찰과 KISA가 현재 포렌식 조사를 진행 중입니다.(SK Telecom warns customer USIM data exposed in malware attack) 

보안 취약점 및 본질적 문제점

이번 사고는 핵심 서버 해킹이라는 점에서 통신사 보안의 근본적 허점을 드러냈습니다. SKT HSS가 해킹된 것은 통신망의 “심장부(core infrastructure)”가 뚫린 것으로, “고도로 보안된 중앙 서버의 침해는 충격적인 사건”이라는 평가가 나오고 있습니다 (SKT’s delayed response to hacking incident fuels consumer anxiety).

국내 최대 통신사에 2300만 명에 이르는 가입자 정보가 저장돼 있다는 점을 감안하면, 이 사고의 파급 효과는 매우 큽니다 ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

또 다른 문제는 사고 대응 과정의 미흡함입니다. 관련 법령에 따르면 침해사고를 24시간 이내에 보고해야 하지만, SKT는 최초 침입 인지 시점(4월 18일 오후)부터 관계기관 보고 시점(4월 20일 오후)까지 약 45시간의 시차가 있었습니다 (Report: SKT Violated 24-Hour Notification Requirement for Data Breaches l KBS WORLD).

언론 보도에 따르면 SKT는 데이터를 이동시키는 징후를 4월 18일 오후 6시경 발견하고 19일 밤에야 자료 유출 사실을 확인했으나, 공시는 22일까지 미뤄졌습니다 (Report: SKT Violated 24-Hour Notification Requirement for Data Breaches l KBS WORLD) (SKT’s delayed response to hacking incident fuels consumer anxiety).

이에 따라 “사고 초기 대응이 지연됐다”는 비판과 더불어, 통신망 관리자들의 관리·감시 체계에 허점이 있었다는 지적이 제기되고 있습니다.

이 사건은 개인정보를 주로 인증에 사용하는 유심 정보가 노출되었다는 점에서 본질적인 위험을 내포합니다. 휴대전화는 단순한 통신 수단을 넘어 디지털 신분증과도 같기 때문에, 이에 대한 신뢰가 흔들리면 이용자 불안이 커질 수밖에 없습니다 (SKT’s delayed response to hacking incident fuels consumer anxiety) ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

전문가들은 “HSS 해킹은 하위 시스템 해킹보다 피해가 더 크다”며, 통신사가 고도화된 사이버 공격에 대비하도록 보안 체계를 전면 강화할 필요가 있다고 경고하고 있습니다 (SKT’s delayed response to hacking incident fuels consumer anxiety) ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

SK텔레콤 및 정부 대응 조치

SKT는 사고 발견 직후 다양한 복구·방지 조치를 시행했습니다. 먼저 악성코드 제거 및 감염 장비 격리를 즉시 진행했고 (사이버 침해 사고 관련 FAQ – SK텔레콤 뉴스룸) (SK텔레콤에서 알려드립니다 – SK텔레콤 뉴스룸),

이후 전체 시스템을 대상으로 전수 조사를 실시했습니다 (사이버 침해 사고 관련 FAQ – SK텔레콤 뉴스룸) (SK텔레콤에서 알려드립니다 – SK텔레콤 뉴스룸).

불법 유심 기변(기기변경) 및 비정상 인증 시도 차단 기능(FDS)을 강화하여, 의심스러운 이동이나 인증이 포착되면 즉시 서비스를 정지하도록 했습니다 (SK텔레콤에서 알려드립니다 – SK텔레콤 뉴스룸) (사이버 침해 사고 관련 FAQ – SK텔레콤 뉴스룸).

추가 피해를 막기 위해 SKT는 **‘유심보호서비스’**를 무료로 제공 중입니다 (SK텔레콤에서 알려드립니다 – SK텔레콤 뉴스룸) ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

이 서비스는 T월드 앱 또는 홈페이지에서 가입할 수 있으며, 무단 기기변경, 해외 로밍, 비정상 인증을 자동으로 차단해 줍니다 (SK텔레콤에서 알려드립니다 – SK텔레콤 뉴스룸) ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

또한 고객 혼란을 최소화하기 위해 전용 고객센터(080-800-0577)를 운영하며, 안전 조치와 지원을 안내했습니다.

나아가 SKT는 4월 28일부터 전국 매장에서 전 가입자 유심 무료 교체를 진행하고 있습니다 (사이버 침해 사고 관련 FAQ – SK텔레콤 뉴스룸).

이 조치는 고객 불안을 해소하기 위한 것으로, 4월 18일 이전 기준 SKT 가입자(약 2300만 명)가 대상이며, 스마트워치나 키즈폰 일부 기종을 제외하고 1인당 1회에 한해 신청 가능합니다 (사이버 침해 사고 관련 FAQ – SK텔레콤 뉴스룸).

정부와 감독기관도 공동 대응에 나섰습니다. 과학기술정보통신부는 정보보호네트워크정책관을 팀장으로 SKT 사고 대응팀을 구성하고 SKT 본사 현장조사를 지원했습니다 ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

KISA는 기술 지원과 분석을 제공하며 사고 원인 규명을 위해 관련 자료 제출 및 보존을 명령했습니다 ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

개인정보위는 SKT에 대한 조사와 함께 이용자 보호 의무 이행 여부를 점검하며, 2차 피해 예방을 위해 대국민 주의를 당부했습니다 ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

서울경찰청 사이버수사대는 사이버수사를 통해 해커의 정체와 침투 경로를 추적하고 있습니다 ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

사용자 유의사항 및 권고

이번 유심 정보 유출 사태로 인해 이용자들은 다음과 같은 점에 주의해야 합니다.

첫째, SKT에서 제공하는 유심보호서비스에 반드시 가입해 두어야 합니다. 이 서비스를 활성화하면 번호이동이나 단말기 변경 시 추가 인증이 필요해져, 악의적인 SIM 스와핑 시도를 효과적으로 차단할 수 있습니다 (SK텔레콤에서 알려드립니다 – SK텔레콤 뉴스룸) ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

둘째, 금융 앱 이용 시 SMS 인증 대신 **2차 인증 앱(OTP)**이나 생체인증 등으로 보안 절차를 강화하는 것이 좋습니다.

셋째, 발신자 불분명한 전화나 문자 메시지에 함부로 응답하지 않고, 의심스러운 금융거래 요청은 곧바로 통신사나 금융기관에 확인해야 합니다. 개인정보나 계정 정보를 요구하는 연락은 진짜 출처인지 확인이 필요합니다.

또한 SKT 고객센터나 금융회사 콜센터를 통해 계정 보안 점검을 신청하고, 신용정보조회 서비스를 활용해 명의도용 여부를 확인하는 것도 권장됩니다. 개인정보는 복구하기 어렵고 재사용될 위험이 크므로, 비밀번호는 주기적으로 변경하고 모든 온라인 서비스에 대해 이중 인증을 설정해야 합니다. 과기정통부와 개인정보위도 “보이스피싱·스미싱 등 2차 피해를 예방하기 위해 각별한 주의를 기울여 달라”고 당부한 바 있습니다 ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

유심 해킹 사태는 휴대전화 보안의 중요성을 다시 일깨워 주었습니다. 소비자들은 평소에도 보안 업데이트를 철저히 하고, 출처가 불분명한 앱 설치나 보안 설정을 소홀히 하지 않도록 각별히 유의해야 합니다. 앞으로도 SKT와 정부는 사고 원인 분석 결과를 투명하게 공개하고, 재발방지 대책을 강화해 나갈 것입니다 ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea) ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).

참고자료: SK텔레콤 발표자료 및 언론보도 (SK텔레콤에서 알려드립니다 – SK텔레콤 뉴스룸) (사이버 침해 사고 관련 FAQ – SK텔레콤 뉴스룸) (SK Telecom warns customer USIM data exposed in malware attack) ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea) (사이버 침해 사고 관련 FAQ – SK텔레콤 뉴스룸) ([Q&AI] SKT, 초유의 유심정보 유출… 유심보호서비스는 어떻게 - ZDNet korea).