SKT 유심 정보 유출 사고 분석 및 대응 방안

사고 개요

2025년 4월 19일, SK텔레콤 가입자 인증 시스템인 HSS(홈 위치 등록 서버)가 악성코드에 감염되면서 대규모 정보 유출 사고가 발생했다.
HSS는 LTE 및 5G 네트워크 구성에서 사용자 인증 및 서비스 인가를 담당하는 핵심 시스템으로, 유심 정보(IMSI, Ki 등)와 같은 민감한 데이터가 이 시스템을 통해 관리된다.

외부 인터넷망과 연결된 일부 경로를 통해 악성코드가 내부망으로 침투하였고, 과금 분석 장비를 통해 HSS까지 접근이 가능했던 것으로 확인되었다.
이로 인해 다수 가입자의 인증 정보가 외부로 유출되는 심각한 사고로 이어졌다.

---

사고 원인

이번 SKT 유심 정보 유출 사고는 다음과 같은 보안 취약점과 내부 시스템 관리 미흡이 복합적으로 작용한 결과로 분석된다.

• 백도어 악성코드인 BPFdoor가 외부 인터넷망과 연결된 경로를 통해 내부망에 유입됨
• 악성코드가 과금 분석 장비를 통해 내부망으로 침투하여 HSS 서버까지 확산
• IMSI와 Ki 등 핵심 인증 정보가 암호화되지 않은 상태로 저장
• HSS 서버에 백신을 포함한 보안 프로그램 미설치
• 내부망 접근 통제 및 보안 모니터링 체계 미흡

이러한 보안 구조의 허점으로 인해 해커가 민감한 가입자 데이터를 탈취할 수 있었다.

---

사후 대응 방안

사고 발생 이후 SK텔레콤은 다음과 같은 조치를 취했다.

• 전체 시스템에 대한 전수 조사 및 보안 체계 강화
• KISA, 개인정보보호위원회 등 유관기관과 협력하여 사고 조사 및 대응
• 고객 보호를 위한 유심 무상 교체 시행
• 유심 교체 전 무단 기기변경, 로밍 사용, 비정상 인증 시도 차단 서비스(유심보호서비스) 제공
• 유출 가능성이 있는 고객에게 개별 통지 및 피해 예방 안내 실시

---

예상 피해 시나리오

유출된 IMSI와 Ki 정보를 악용한 피해 시나리오는 다음과 같다.

1. SIM 복제 (심 클로닝)
   • 유출된 정보를 바탕으로 복제 유심을 제작해 통신 서비스를 무단 이용
2. SIM 스와핑
   • 복제 유심으로 피해자의 전화번호를 탈취, 금융 인증 수단 등으로 악용
3. 2차 범죄 활용
   • 피해자 번호로 피싱 메시지, 보이스피싱, 스미싱 등 발송
4. 금융 정보 탈취
   • 복제폰을 통해 공인인증서 및 금융정보 접근
5. 사칭 전화 및 메시지 발송
   • 피해자 명의 도용 공격

---

사전 예방 방안

SK텔레콤 유심 정보 유출과 같은 사고를 예방하기 위한 권장 보안 조치는 다음과 같다.

• 인증 정보 암호화 저장
  IMSI, Ki 등 민감 정보는 반드시 암호화하여 저장, 탈취되더라도 악용을 방지

• 핵심 시스템 보안 강화
  HSS 같은 중요 서버에 백신, IDS(침입 탐지 시스템) 설치로 악성코드 및 비정상 접근 실시간 감지

• 내부망 접근 통제 및 분리
  불필요한 외부망 연결 차단 및 최소 권한 원칙 적용

• 이상 거래 탐지 시스템(FDS) 운영
  비정상 인증 요청 및 트래픽 실시간 식별 및 대응

• 사용자 보안 인식 교육 강화
  피싱 메시지, SIM 무력화 공격 등 최신 위협에 대비한 교육 필요

• 명의도용방지 서비스 활용
  실시간 신규 통신 서비스 개통 감지로 피해 조기 인지 및 차단

---

마치며

이번 SKT 유심 정보 유출 사고는 통신 인프라의 핵심 시스템 보안이 얼마나 중요한지 다시 한번 일깨워주는 사례이다.
모든 보안 체계는 다층 방어 원칙을 바탕으로 구축되어야 하며, 시스템 운영자와 사용자 모두가 보안 위협에 대한 인식을 높이고 대응 역량을 강화하는 것이 필요하다.

---

참고 자료:

• KISA 보안 뉴스
• 개인정보보호위원회

Tags: SKT 유심 정보유출 보안사고 통신