SKT 해킹 사태 심층분석: 내 유심 정보가 2단계 인증까지 위협한다?

Mobile Hacking - PixaBay

최근 SK텔레콤에서 고객 유심(USIM) 관련 일부 정보가 유출된 것으로 의심되는 해킹 사고가 발생했다는 소식에 많은 분들이 불안감을 느끼고 계실 겁니다. 

"내 개인정보는 괜찮을까?", "스미싱이나 보이스피싱에 더 취약해지는 건 아닐까?" 하는 걱정이 앞서는 것이 당연합니다.

특히 이번에 유출된 것으로 보이는 정보 중에는 'ICCID', 'IMSI', 심지어 '유심 인증키(K값)' 같은 매우 민감한 식별자들이 포함되어 있을 가능성이 제기되고 있습니다. 

이 정보들이 대체 무엇이고, 우리가 안전하다고 믿었던 휴대전화 2단계 인증(2FA)과는 또 어떤 관련이 있으며, 이번 유출로 인해 구체적으로 어떤 점들이 우려되는지 한번 자세히 파헤쳐 보겠습니다.

 

SKT 해킹, 어떻게 유심(USIM) 정보가 새어 나갔나? 

이번 SKT 해킹은 단순한 웹사이트 공격이 아닌, 이동통신망의 핵심 시스템을 노린 매우 정교하고 심각한 공격으로 파악되고 있습니다. 

언론 보도와 나무위키 "SK텔레콤 유심 정보 유출 사고" 문서를 종합하면, 주요 원인은 'BPFDoor'라는 악성코드를 이용한 백도어 공격으로 분석됩니다.

 

BPFDoor 악성코드란?

 리눅스(Linux) 시스템에서 작동하는 매우 은밀한 악성코드입니다.

BPF(Berkeley Packet Filter)라는 정상적인 네트워크 트래픽 필터링 기술을 악용하여 시스템에 숨어듭니다.
마치 스파이처럼 평소에는 아무런 활동 흔적을 남기지 않고 조용히 잠복해 있다가, 공격자가 보내는 특정한 '매직 패킷(Magic Packet)'이라는 신호를 받으면 그때서야 활성화되어 원격으로 명령을 수행하고 정보를 탈취합니다.
이렇게 은밀하게 작동하기 때문에 일반적인 보안 시스템이나 관제센터 모니터링으로 탐지하기가 매우 어렵습니다.

SKT 역시 약 9.7GB에 달하는 대규모 데이터가 외부로 빠져나가는 이상 트래픽을 감지하고서야 해킹 사실을 인지한 것으로 알려졌습니다.

 

침투 경로는? 

정확한 침투 경로는 아직 조사 중이지만, 몇 가지 가능성이 제시되고 있습니다.

이반티(Ivanti) VPN 장비의 보안 취약점을 통한 외부 침입, SKT 시스템의 유지보수 인력 PC 감염을 통한 내부망 확산, 또는 내부 협조자를 통한 악성코드 설치 등입니다.

표적이 된 HSS (홈 가입자 서버): 

 

이 악성코드가 최종적으로 침투한 곳은 이동통신망의 핵심 데이터베이스인 홈 가입자 서버(HSS)입니다.

HSS에는 가입자의 고유 식별 정보, 인증 정보, 서비스 이용 정보 등 민감한 정보가 총망라되어 있어, 이곳이 뚫렸다는 것은 그만큼 피해 범위와 심각성이 클 수밖에 없습니다.
BPFDoor는 이미 2021년부터 중국 기반의 해커 그룹 '레드멘션(Red Menshen)' 등이 중동 및 아시아 지역 통신사 공격에 사용해 온 것으로 알려져 있지만, 현재는 그 소스코드가 공개되어 있어 특정 공격자를 단정하기는 어렵다고 합니다.

Github - BPFDoor

 

유출된 정보 상세 분석: 내 유심의 '비밀 정보'까지?

그렇다면 이번 해킹으로 구체적으로 어떤 정보들이 유출된 것으로 파악되고 있을까요? 

정부 1차 조사 결과와 관련 보도들을 종합하면 다음과 같습니다.

1. USIM 복제에 악용될 수 있는 핵심 정보 4종:

• IMSI (International Mobile Subscriber Identity - 국제모바일가입자식별번호):
  유심마다 부여된 고유한 가입자 식별번호입니다.
  ICCID가 유심카드 자체의 일련번호라면, IMSI는 통신 서비스 가입자를 식별하는 번호로, 실제 통신 및 인증 과정에서 핵심적인 역할을 합니다.
• ICCID (Integrated Circuit Card Identifier - 유심 고유번호):
  유심 카드 자체의 주민등록번호와 같은 고유 일련번호입니다.
  이동통신사가 특정 유심 카드를 식별하고 인증하는 데 사용됩니다.
• 유심 인증키 (K값, Authentication Key):
  가장 민감한 정보 중 하나로, 가입자 인증 시 암호화된 값을 생성하는 데 사용되는 일종의 '비밀 열쇠'입니다.
  이 K값이 유출되면 SIM 복제의 위험성이 크게 높아집니다.
  HSS와 개별 유심만이 이 비밀키를 공유하며, 이를 통해 통신망은 정당한 가입자인지를 확인합니다.
• (기타 USIM 복제 관련 정보 1종):
  위의 3가지 정보와 함께 유심 복제에 필요한 부가 정보일 것으로 추정됩니다.

2. SK텔레콤 내부 관리용 정보 21종:

 

유심 정보 처리 및 통신 서비스 관리를 위해 SKT 내부적으로 사용하는 기타 정보들입니다.

IMEI(단말기 국제고유식별번호) 유출 여부는? 

 

2025년 4월 29일 과학기술정보통신부의 민관합동조사단 1차 분석 결과 발표에서는 IMEI가 직접적인 유출 항목으로 명시되지는 않았습니다. 

하지만 개인정보보호위원회는 IMEI 역시 유심칩에 담긴 중요한 개인정보로 보고 조사를 진행 중이라는 입장을 밝혔으며, 국회 청문회에서도 정부 관계자가 IMEI 유출 가능성을 완전히 배제할 수는 없다는 취지의 답변을 한 바 있어, 최종 조사 결과를 지켜봐야 하는 부분으로 보입니다.

이처럼 유출된 정보들은 단순한 개인 연락처나 주소를 넘어, 스마트폰과 통신 서비스의 가장 근본적인 인증 체계를 구성하는 핵심 데이터들이라는 점에서 사태의 심각성이 매우 크다고 할 수 있습니다.

ICCID/IMSI/K값과 2단계 인증(2FA)의 연결고리

많은 분들이 온라인 서비스의 보안을 위해 2단계 인증(2FA)을 사용하고 계실 겁니다. 

가장 흔한 방식이 스마트폰 문자메시지(SMS)로 전송되는 인증번호(OTP)를 입력하는 것이죠.

 

• 2단계 인증의 핵심:
  "내가 가진 것"의 증명: 2단계 인증은 "내가 아는 것(비밀번호)" 외에 "내가 가진 것(스마트폰 등)"을 추가로 확인하여 보안을 강화합니다.
  SMS 인증에서 "내가 가진 것"은 바로 '내 스마트폰으로 오는 문자메시지를 확인할 수 있는 권한'입니다.
• 유심 정보와 SMS 인증의 관계:
  ICCID, IMSI, K값 등은 SMS 인증번호 그 자체는 아니지만, SMS 인증번호가 정확히 '나의' 스마트폰으로 전송되고 내가 안전하게 수신할 수 있도록 하는 시스템의 근간입니다.
  통신사 네트워크는 이러한 유심 정보와 인증키를 통해 "이 번호로 오는 SMS는 이 유심이 꽂힌 이 단말기로 보내야 한다"고 판단하고 메시지를 전달합니다.
  즉, 이 정보들은 SMS 기반 2단계 인증의 신뢰성을 담보하는 핵심적인 배경 정보입니다.

유심 정보 유출, 무엇이 어떻게 우려되나? (공격 시나리오)

유출된 IMSI, K값 등의 정보가 있다면, 공격자는 어떤 일을 벌일 수 있을까요? 가장 우려되는 것은 바로 SIM 클로닝(복제)입니다.

SIM 클로닝(복제)이란?: 

피해자의 유심에 담긴 핵심 정보(특히 IMSI와 K값)를 알아내어, 동일한 정보를 가진 '쌍둥이 유심'을 만드는 것입니다. 

이동통신망 인증은 HSS에서 내려온 난수(RAND), 인증토큰(AUTN) 등을 이용해 유심의 K값과 순번(SQN)으로 암호화 연산을 수행하여 이루어지는데, 만약 공격자가 HSS 공격을 통해 IMSI-K값 쌍을 확보했다면, 이 정보를 이용해 복제 유심을 만들어 피해자 행세를 할 수 있게 됩니다.

공격 시나리오:

1. USIM 복제 + 다른 IMEI 사용 (제한적 위험):

 

공격자가 피해자의 유심 정보(IMSI, K값 등)는 복제했지만, 피해자의 단말기 고유번호(IMEI)까지는 확보하지 못했거나 사용할 수 없는 경우입니다.
이때 공격자는 복제된 유심을 자신이 가진 다른 단말기(IMEI-X)에 넣어 사용을 시도합니다.
통신사 망 입장에서는 정상적인 '유심 기변'처럼 보일 수 있으며, SKT가 제공하는 '유심보호서비스'(등록된 IMEI와 실제 접속 시도 IMEI가 다를 경우 차단) 등으로 어느 정도 방어가 기대될 수 있습니다.
(1차 조사에서 IMEI는 직접 유출되지 않았다고 발표되었으므로, 이 시나리오가 상대적으로 더 현실적일 수 있습니다.)

2. USIM 복제 + 피해자 IMEI 사용 (매우 위험):

 

가장 우려되는 최악의 시나리오입니다. SKT 해킹으로 IMSI, K값 등 핵심 유심 복제 정보가 유출된 상태에서, 공격자가 다른 경로를 통해 피해자의 IMEI까지 확보한다면 (IMEI는 사실 유심 인증키처럼 비밀 정보가 아니며, 단말기 자체, 포장 박스, 악성 앱 감염, 스미싱 등으로 상대적으로 쉽게 알아낼 수 있습니다), 이 두 가지 정보를 결합하여 가장 위험한 형태의 공격을 감행할 수 있습니다.

이 경우, 통신사 망은 공격자의 복제폰을 피해자의 정상적인 단말기로 오인할 가능성이 매우 높아집니다.

즉, 공격자의 폰이 피해자의 폰과 '완벽한 쌍둥이' 행세를 하는 것입니다.

 

이렇게 되면 궁극적으로 피해자가 유심을 재발급받아 기존 유심 정보를 무효화하는 것이 현재로서는 가장 확실한 해결책으로 여겨집니다.
이러한 SIM 복제가 성공하면, 피해자에게 전송되는 모든 문자메시지(2단계 인증번호 포함), 전화 통화 등을 공격자가 가로챌 수 있게 되어, 금융 계정 탈취 등 심각한 2차 피해로 이어질 수 있습니다.

이 외에도 다음과 같은 심각한 보안 위협이 발생할 수 있습니다.

• 정교한 스미싱 및 보이스피싱(사회공학적 공격)의 빌미 제공:
  유출된 정보를 언급하며 접근하면 피해자가 속기 쉽습니다.
• 모바일 뱅킹, 간편결제 등 금융 서비스 직접적 위협:
  SMS 인증번호가 탈취되면 금융 계좌가 무방비로 노출될 수 있습니다.
• 최고 보안 수단으로 여겨진 2단계 인증 체계의 신뢰성 붕괴:
  2단계 인증은 1차 인증(아이디/비밀번호)이 언젠가는 해킹당할 수 있다는 한계를 보완하는, 사실상 현재까지 가장 강력한 추가 보안 수단으로 여겨져 왔습니다.
  특히 고객 자산 보호가 최우선인 금융 분야에서는 이를 적극적으로 도입하여 핵심 인증 체계로 활용해왔습니다.
  그러나 이번 SKT 해킹 사태와 같이 SMS 인증의 기반이 되는 유심 정보와 핵심 인증키까지 유출될 경우, 이 '믿는 도끼'였던 2단계 인증마저도 특정 공격(SIM 스와핑/복제 등)에 취약해질 수 있다는 우려가 현실로 다가온 것입니다.
  이는 단순한 정보 유출을 넘어, 그동안 안전하다고 믿어왔던 2단계 인증 시스템 전체의 신뢰성에 심각한 타격을 줄 수 있음을 의미합니다.
  특히 코로나19 팬데믹 이후 비대면(非對面) 금융 서비스가 폭발적으로 증가하면서, 대부분의 본인 확인 및 거래 인증 절차가 이러한 모바일 기반 2단계 인증에 크게 의존하고 있습니다.
  따라서 이번 사태로 인한 파장은 과거보다 훨씬 더 광범위하고 심각하게 느껴질 수밖에 없습니다.
  비대면 환경에서의 핵심적인 신뢰 기반이 흔들리는 것이기 때문입니다.

우리는 무엇을 할 수 있을까? 

이러한 상황에서 우리는 어떻게 대처해야 할까요?

• SK텔레콤 및 관계 당국(KISA 등)의 공식 안내 확인 및 조치 이행.
• 출처 불분명한 문자메시지, 이메일, 전화 경계. (특히 개인/금융정보 요구, 앱 설치 유도 주의)
• 강력한 2단계 인증 수단 사용. (SMS 인증보다는 앱 기반 OTP, 하드웨어 보안키 권장)
• 금융 거래 및 휴대폰 이용 내역 수시 확인.
• 유심 보호 서비스 등 부가 서비스 활용 고려. (단, 서비스의 한계점도 인지 필요)
• 가장 확실한 방법은 가능한 빨리 유심을 교체하는 것입니다.

결론: 개인정보 보호, 아무리 강조해도 지나치지 않다

이번 SKT 해킹 사태는 우리가 일상적으로 사용하는 스마트폰과 유심에 담긴 정보가 얼마나 중요하며, 이것이 유출되었을 때 어떤 파장을 일으킬 수 있는지를 다시 한번 일깨워주고 있습니다. 

특히, 1차 인증의 취약성을 보완하는 최고의 안전장치로 여겨졌던 2단계 인증 시스템마저 위협받을 수 있다는 점은 우리에게 큰 충격을 안겨줍니다.

코로나19 이후 본격화된 비대면 금융 시대에, 이번 SKT 해킹 사태는 단순한 개인정보 유출을 넘어 우리 사회의 중요한 인증 시스템과 그 기반이 되는 신뢰에 대한 근본적인 질문을 던지고 있습니다. 

비록 공격자들이 유출된 정보를 실제 범죄에 악용하는 것이 여러 단계를 거쳐야 하는 복잡한 과정일지라도, 그 잠재적인 위험성은 결코 가볍게 볼 수 없습니다.
이동통신사를 비롯한 기업들은 고객 정보 보호를 위한 기술적, 관리적 보안 노력을 더욱 강화해야 할 것이며, 우리 개개인 역시 자신의 정보를 스스로 지키기 위한 보안 의식을 높이고 생활 속에서 실천하는 자세가 그 어느 때보다 중요해졌습니다. 

이번 사태를 계기로 우리 사회 전체의 개인정보보호 수준과 비대면 서비스의 안전성이 한 단계 더 높아지기를 기대해 봅니다.