1. 사고 개요와 피해 범위
사고 발견 및 분석 경과
2025년 4월 18일 저녁 6시 9분, SK텔레콤의 내부 모니터링 시스템이 비정상적인 데이터 흐름을 포착했습니다. 이후 23시 20분에 악성코드가 확인되며 해킹 사실이 내부적으로 인지되었습니다. 그러나 당국에 공식 신고가 이루어진 것은 4월 20일 오후 4시경으로, 「정보통신망법」의 '24시간 내 보고' 의무를 위반했다는 논란이 제기되었습니다.
유출 정보의 성격
현재까지 파악된 바로는 SK텔레콤 전체 가입자 약 2,300만 명의 USIM 데이터베이스 중 일부가 외부로 유출된 것으로 보입니다. 유출된 정보에는 전화번호, IMSI(국제 모바일 가입자 식별번호), IMEI(단말기 식별번호) 등이 포함되어 있습니다. 주민등록번호나 카드정보는 포함되지 않았지만, 유출된 USIM 정보만으로도 복제, 스미싱, SIM 스와핑 등의 2차 피해 가능성이 존재합니다.
2. 공격 방식 (추정)
한국인터넷진흥원(KISA)의 조사 초안에 따르면, 이번 공격은 다음과 같은 단계로 이루어진 것으로 추정됩니다:
초기 침투 및 권한 상승
공격자는 내부 개발망과 운영망을 동시에 사용하던 원격접속 계정을 피싱 이메일을 통해 탈취한 후, VPN을 이용해 내부망에 장기간 상주했습니다. 이후 Active Directory(AD) 서버에서 관리자 권한을 확보하고 데이터베이스 접속 로그를 조작해 흔적을 최소화했습니다.
데이터 추출 및 전송 🔍
공격자는 USIM 발급 및 교체 관리 시스템에서 데이터를 일괄 추출해 CSV 형태로 확보했습니다. 이 데이터는 AES-256 암호화 후 분할하여 외부로 전송되었으며, 총 9GB 규모의 데이터가 유출된 것으로 추정됩니다. 데이터 추출 후 삭제 스크립트까지 실행되어 포렌식 조사의 난이도가 크게 높아졌습니다. 상세한 포렌식 조사 결과는 5월 초에 완료될 예정입니다.
3. SK텔레콤의 대응 조치
SK텔레콤은 사고 인지 후 다음과 같은 즉각적인 대응 조치를 발표했습니다:
전 고객 무상 유심 교체
4월 28일(월) 오전 10시부터 전국의 모든 T월드 매장과 공항 로밍센터에서 전 고객 대상 무상 유심 교체가 시행됩니다. SK텔레콤 및 관련 MVNO(알뜰폰) 고객 모두 해당되며, 4월 19일~27일 사이에 자비로 유심을 교체한 고객들에게는 6월 말까지 해당 요금이 환급됩니다.
유심보호서비스 고도화 🛡️
FDS(이상거래탐지시스템)를 강화하여 복제 유심 기지국 등록 즉시 차단, 비정상 인증 3회 시 회선 임시 정지, 의심 활동 발견 시 안내 메시지 발송 기능이 추가되었습니다. 이 서비스는 'T world 앱 → 보안 → 유심보호' 메뉴에서 원-클릭으로 가입 가능합니다.
보안 모니터링 강화
관제센터가 3교대 24시간 체제로 확대 운영되며, 금융-통신 공동대응 체계를 통해 의심스러운 회선 정보를 은행 및 카드사와 실시간으로 공유하는 시스템이 구축되었습니다.
4. 정부 및 규제기관의 대응
민·관 합동 비상대책반
과학기술정보통신부, KISA, 개인정보보호위원회, 경찰청이 협력하여 50명 규모의 비상대책반을 구성했습니다. 이 조직은 원인 규명, 제재 방안, 재발 방지 가이드라인을 조사 중이며, 4월 30일에 1차 조사 결과를 발표할 예정입니다. '징벌적 손해배상' 적용 가능성도 검토 중입니다.
법제도 강화
국회 과학기술정보방송통신위원회는 5월 임시국회에서 '통신망 기반 인증정보 보호특별법' 제정안을 상정할 계획입니다. 이 법안은 SIM 및 eSIM 정보를 '중요정보'로 분류하고, 암호화와 망분리 의무를 강화하는 내용을 담고 있습니다.
5. 산업 및 사회적 파급효과
기업 대응
삼성전자, 현대자동차, 한화그룹, 포스코 등 주요 대기업들은 임직원들에게 '즉시 유심 교체' 지시를 내렸습니다. 일부 금융기관들은 SIM 정보 변경 시 대면 확인 절차를 새롭게 도입하는 등 보안을 강화하고 있습니다.
통신시장 변화
약 30여 개의 알뜰폰 사업자들은 상담 문의 폭증으로 임시 콜센터를 신설했으며, 이동통신 3사는 'eSIM 보험' 출시 일정을 앞당기는 등 시장 변화가 예상됩니다.
6. 전문가 시각과 권고사항 💡
보안 전문가 의견
"USIM DB가 평문으로 저장되어 있었고, 망분리가 미흡했다"는 점을 지적하며, 제로트러스트 아키텍처 도입, DB 암호화, 주기적인 레드팀(모의해킹) 운영을 권고합니다.
금융권 CISO 의견
"SIM 스와핑이 카드 인증을 우회할 수 있다"는 위험성을 경고하며, FIDO2/WebAuthn 기반의 다중인증 확대를 제안했습니다.
개인정보보호위원회 입장
"보고 지연에 대한 과태료를 최대 3억 원까지 검토 중"이라고 밝히며, 사고통보 자동화 시스템 구축의 필요성을 강조했습니다.
일반 사용자 권고사항
사용자들은 다음과 같은 조치를 취하는 것이 좋습니다:
- 유심 교체: 가능한 빠른 시일 내에 유심 교체
- 유심보호서비스 가입: 통신사 유심보호서비스 즉시 가입
- 요금 및 인증 알림 확인: 비정상적인 요금이나 인증 시도 상시 확인
- 의심스러운 링크 및 앱 설치 자제: 출처가 불분명한 링크나 앱 피하기
- OS 및 보안 패치 최신화: 단말기의 OS와 보안 패치를 최신 상태로 유지
- 번호 변경 잠금 서비스 이용: 본인 확인 없이 번호 변경이 불가능하도록 설정
7. 향후 과제
eSIM 및 iSIM 보안 강화
SK텔레콤은 2025년 하반기까지 eSIM용 '원격 프로파일 잠금' 기능을 도입할 예정입니다. 이는 물리적 USIM 카드가 아닌 eSIM 환경에서도 보안을 강화하기 위한 조치입니다.
공급망 및 내부자 위협 관리 강화 🔒
개발망과 운영망의 철저한 분리, 코드 리뷰 프로세스 강화, 제3자에 의한 정기적 보안 감사가 필요합니다. 특히 내부자에 의한 위협을 방지하기 위한 접근 통제와 권한 관리가 중요합니다.
공동 사이버 레인지 구축
통신사들은 기지국 및 RAN(Radio Access Network) 보안 시나리오를 주기적으로 모의훈련할 수 있는 공동 사이버 레인지 구축이 필요합니다. 이를 통해 실제 공격 상황에 대비한 대응 능력을 향상시킬 수 있습니다.
8. 국제 비교 사례 🌐
미국 T-Mobile 사례
미국 T-Mobile은 2025년 3월 SIM 스와핑 사건으로 3,300만 달러를 배상했으며, 2023년 3,700만 계정 유출 등 누적 배상액이 수억 달러에 달합니다. 이는 통신사 데이터 보안의 중요성과 유출 시 발생할 수 있는 막대한 비용을 보여줍니다.
일본 NTT도코모 대응
일본 NTT도코모는 2023년 eSIM 전용 '프로파일 잠금'과 OTP 기반 교체 승인 절차를 도입하여 SIM 스와핑 시도를 95% 차단했다고 보고했습니다. 이는 SK텔레콤이 참고할 만한 선진 사례로 볼 수 있습니다.
종합 평가
이번 SK텔레콤 유심정보 유출 사고는 국내 최초로 가입자 식별 핵심정보가 대규모로 유출된 사례로, 단순 유심 교체만으로는 충분한 대응이 될 수 없습니다. SK텔레콤은 단기 처방을 내놓았지만, 망분리, 암호화, 공급망 관리 같은 구조적 개선 없이는 재발 위험이 상존합니다.
이용자는 통신사 보안서비스를 적극 활용하고, 금융 및 메신저 계정을 다중인증으로 전환해 잠재적 SIM 스와핑 피해에 대비해야 합니다. 또한 정부와 기업은 이번 사태를 계기로 통신 인프라 보안에 대한 근본적인 재검토와 투자 확대를 추진해야 할 것입니다. ✅
통신 보안은 이제 개인정보 보호를 넘어 국가 사이버 안보의 핵심 요소가 되었습니다. 모든 이해관계자가 함께 노력해야만 더 안전한 디지털 생태계를 구축할 수 있을 것입니다.
