SKT, 유심 정보 보관된 HSS에서 BPF도어 악성코드 발견
유심보호서비스 및 유심 교체 시행했지만...재고 부족해 혼란 가중
경찰 수사 착수...국가적 사이버 보안 체계의 취약성 드러내
[보안뉴스 특별취재팀] 지난 4월 19일 드러나 SKT 유심(USIM) 해킹 사태가 전 국민의 일상을 위협하고 있다. SKT 대리점마다 유심 교체를 위해 긴 줄이 늘어서고 있으며, 전 국민의 절반에 달하는 SKT 이용자들은 행여 현금 이체, 가상자산 탈취 등 금전적 피해가 발생하진 않을지 전전긍긍하고 있다. 사건이 발생한 지 2주가량 흐른 시점에서 보안이야기 최재영 대표와 함께 이번 사태를 되짚어 보고, 향후 필요한 대책과 남겨진 과제는 무엇인지 살펴본다.
▲1일 인천국제공항 제1여객터미널 출국장 내 SK텔레콤 로밍센터에서 출국자들이 유심 교체를 위해 줄을 서고 있다. [자료: 연합]
△사건 발생 경위
SKT는 4월 19일, 자사 네트워크에서 악성코드가 탐지됐으며, 이를 통해 해커가 고객의 유심 관련 정보를 탈취한 정황을 확인했다. 유출된 정보에는 국제이동가입자식별번호(IMSI), 전화번호(MSISDN), 인증 키 등 핵심 식별 정보가 포함되어 있었다.
△해킹 발생 원인
이번 사태는 SK텔레콤의 핵심 서버인 Home Subscriber Server(HSS)에 악성코드가 설치되어 발생했다. 해커는 이를 통해 고객의 유심 정보(이동가입자 식별번호, 단말기 고유식별번호, 유심 인증키, 전화번호 등)를 대량으로 탈취했다. 특히, 유심 정보에는 통신·금융·본인 인증에 필요한 중요한 정보들이 포함되어 있어 이 정보만으로도 복제폰 제작, 신원 도용, 금융사기 등 2차 범죄에 악용될 수 있다.
해킹에 사용된 악성코드는 리눅스 서버를 노린 고도화된 백도어(BPF도어) 악성코드로, 네트워크 방화벽을 우회할 수 있는 기능을 가지고 있다. 이러한 특성으로 인해 보안 탐지가 어려웠고, 해커는 장기간 잠복하면서 유심 정보를 유출할 수 있었다.
유심 정보가 유출되면 가장 심각한 경우 복제폰을 제작해 휴대폰 인증을 통한 금융 접근 권한을 탈취할 수 있다. 이를 바탕으로 대포폰 개통, 보이스피싱, 스미싱 등 조직범죄에 악용될 수 있다. 또한, 유심 정보와 추가 개인정보가 결합될 경우, 공공기관과 기업의 본인인증 시스템이 마비되고, 행정·금융 서비스에 심각한 차질이 빚어질 수 있다.
△SKT의 대응 조치
이번 사태 이후 SKT는 비정상 인증 시도 차단 기준을 최고 수준으로 격상하여 운용 중이며, 실시간 모니터링을 지속 강화하고 있다고 밝혔다. 이와 함께 4월 28일부터 전국 2600여 개 대리점에서 2300만 명 전 고객을 대상으로 무료 유심 교체를 시작했다. 또한, 유심보호서비스(USIM Protection Service)를 무료로 제공해 복제 유심의 타 단말기 사용을 차단하는 조치를 시행 중이다.
그러나 유심 재고 부족으로 인해 일부 고객은 오랜 기간 대기 명단에 이름을 올려야 하는 상황이며, SK텔레콤은 유심 포맷 방식 등 대체 방안을 마련 중이다.
SKT에서 유심 교체를 시작한 이유는 심 스와핑(SIM Swapping) 공격을 사전에 차단하기 위해서다. 유출된 유심 정보를 활용해 해커가 피해자의 번호로 새로운 유심을 발급받아 사용하는 심 스와핑 공격을 통해 해커는 피해자의 통신, 금융, 인증 정보를 탈취할 수 있기 때문이다.
△경찰 수사 진행 상황
서울경찰청 사이버수사과는 4월 30일, 이번 사건을 정식 수사로 전환하고 22명 규모의 전담 수사팀을 편성했다. 경찰은 디지털 증거 확보와 함께 국내외 공조 체계를 가동하여 악성코드 침입 경로와 해킹 배후를 추적하고 있다.
△사회적 파장 및 향후 전망
이번 해킹 사태로 SKT 주가는 최대 8.5% 하락하며, 2020년 이후 최대 낙폭을 기록했다. 정부는 통신사 보안체계 전반에 대한 점검을 지시했으며, 국회 과학기술정보방송통신위원회는 4월 30일 SK텔레콤 유영상 대표를 출석시켜 사고 경위와 대응 과정에 대한 질의를 진행했다.
△이용자 주의사항
- 유심 교체: 가까운 SK텔레콤 대리점 방문 또는 온라인 예약을 통해 유심 교체를 진행해야 한다.
- 유심 보호 서비스 가입: T월드 앱 또는 웹사이트를 통해 무료로 가입 가능하다.
- 의심 문자 및 링크 주의: 스미싱 등 2차 피해를 방지하기 위해 출처 불명의 메시지나 링크는 열람하지 말아야 한다.
△SKT 유심 공급업체 현황
이번 해킹사고로 인해 SKT는 전 고객의 유심을 무료로 교체하기로 결정했으며, 이에 따라 유심 재고 부족 문제가 심각한 상황이다. SKT의 유심 공급업체는 다음과 같다.
- 엑스큐어(Xcure): 국내 USIM 시장 점유율 1위로, SK텔레콤과 KT에 NFC USIM을 공급하는 대표적인 유심칩 벤더로 알려져 있다. 2022년과 2024년 하반기에 공급된 일부 유심에서 불량 가능성이 확인돼 무상 교체를 진행한 바 있다.
- 유비벨록스(UbiVelox): 스마트카드 및 모바일 솔루션 개발 업체로, SK텔레콤에 스마트카드 및 보안 솔루션을 제공하며 협력 관계를 유지하고 있다.
- SK텔링크(SK Telink): SK텔레콤의 자회사로, 유심칩을 포함한 통신 모듈을 공급하고 있다.
- 탈레스(Thales): 프랑스 기반의 글로벌 보안기업으로, SK텔레콤에 유심칩을 공급하고 있다.
▲유영상 SK텔레콤 대표이사가 30일 국회 과학기술정보방송통신위원회의에서 열린 방송통신 분야 청문회에서 유심 해킹 사태와 관련한 질의에 답하고 있다. [자료: 연합]
△드러난 문제점
이번 사태는 단순한 통신사 보안사고를 넘어 국가적 사이버 보안 체계의 취약성을 드러낸 사건으로 평가되고 있다. 이에 따라 철저한 수사와 투명한 정보 공개, 그리고 근본적인 보안 체계 개선이 요구된다.
이번 SKT의 유심 해킹 사건처럼 공급망 보안사고가 발생한 상황에서 다음과 같은 이유로 보안 아웃소싱의 인소싱 전환(내재화) 필요성이 커졌다는 지적이 제기된다.
1. 정보보호최고책임자(CISO)의 실질적 권한 및 조직 미흡: 대부분 대기업에서 CISO를 두고 있지만, 실질적인 권한이나 조직적 뒷받침이 부족한 경우가 많다. SKT 역시 이번 사건에서 드러났듯 공급망(USIM 제조, 인증 등)에 대한 실질적 통제력 부재를 엿볼 수 있는 대목이다.
2. 보안 아웃소싱의 한계: 보안 전문기업에 일부 운영을 맡기는 아웃소싱은 비용 효율성은 있지만, 다음과 같은 위험을 동반하고 있다.
- 통제력 약화: 보안사고 발생 시 빠른 대응이 어렵고, 내부 인프라나 프로세스에 대한 이해도가 낮다.
- 책임소재 분산: 사고 발생 시 아웃소싱 업체와의 R&R(Roles & Responsibilities) 문제로 신속한 대응이 불가능하다.
- 전략 부재: 장기적 보안 아키텍처 설계 및 사이버 위협 인텔리전스 축적이 어렵다.
인소싱을 통한 핵심 보안기능의 내재화는 즉각적인 대응 역량을 강화할 수 있다. CERT, IAM 등의 기능을 내부화할 경우 사고 시 빠른 인지 및 조치가 가능하다. 또한, 정보자산과 인프라에 대한 심층 이해를 바탕으로 보다 효과적인 위험 기반 보안정책을 수립할 수 있다. 이와 함께 지속적인 보안 역량 축적과 기술 고도화가 가능하고, 이를 바탕으로 기업 내부 보안문화 정착과 보안 거버넌스 체계 강화를 도모할 수 있다.
이와 관련 대기업의 보안 인프라를 구축·운영한 바 있는 보안이야기 최재영 대표는 “CISO 직속으로 보안조직을 강화하고 독립성을 보장해야 하며, USIM 인증, 통신망 보호, 공급망 검증 등 핵심 보안영역을 내재화하는 일이 무엇보다 중요하다”며, “외부 전문가는 자문 역할로 활용하고, 핵심 운영은 내부 인력 양성과 조직 정비로 대체하는 동시에 보안 인력 투자와 정규직 전환 확대가 필요하다”고 강조했다.
이어 최 대표는 “현재의 공급망 보안 환경과 사이버 위협의 고도화를 고려할 때, SKT는 아웃소싱 위주의 보안운영 체계에서 핵심 기능 인소싱 체계로 전환해야 한다”며, “이는 단순한 기술적 문제를 넘어 기업 생존과 신뢰 회복의 핵심 전략”이라고 덧붙였다.
[보안뉴스 특별취재팀(editor@boannews.com)]
유심보호서비스 및 유심 교체 시행했지만...재고 부족해 혼란 가중
경찰 수사 착수...국가적 사이버 보안 체계의 취약성 드러내
[보안뉴스 특별취재팀] 지난 4월 19일 드러나 SKT 유심(USIM) 해킹 사태가 전 국민의 일상을 위협하고 있다. SKT 대리점마다 유심 교체를 위해 긴 줄이 늘어서고 있으며, 전 국민의 절반에 달하는 SKT 이용자들은 행여 현금 이체, 가상자산 탈취 등 금전적 피해가 발생하진 않을지 전전긍긍하고 있다. 사건이 발생한 지 2주가량 흐른 시점에서 보안이야기 최재영 대표와 함께 이번 사태를 되짚어 보고, 향후 필요한 대책과 남겨진 과제는 무엇인지 살펴본다.
▲1일 인천국제공항 제1여객터미널 출국장 내 SK텔레콤 로밍센터에서 출국자들이 유심 교체를 위해 줄을 서고 있다. [자료: 연합]
△사건 발생 경위
SKT는 4월 19일, 자사 네트워크에서 악성코드가 탐지됐으며, 이를 통해 해커가 고객의 유심 관련 정보를 탈취한 정황을 확인했다. 유출된 정보에는 국제이동가입자식별번호(IMSI), 전화번호(MSISDN), 인증 키 등 핵심 식별 정보가 포함되어 있었다.
△해킹 발생 원인
이번 사태는 SK텔레콤의 핵심 서버인 Home Subscriber Server(HSS)에 악성코드가 설치되어 발생했다. 해커는 이를 통해 고객의 유심 정보(이동가입자 식별번호, 단말기 고유식별번호, 유심 인증키, 전화번호 등)를 대량으로 탈취했다. 특히, 유심 정보에는 통신·금융·본인 인증에 필요한 중요한 정보들이 포함되어 있어 이 정보만으로도 복제폰 제작, 신원 도용, 금융사기 등 2차 범죄에 악용될 수 있다.
해킹에 사용된 악성코드는 리눅스 서버를 노린 고도화된 백도어(BPF도어) 악성코드로, 네트워크 방화벽을 우회할 수 있는 기능을 가지고 있다. 이러한 특성으로 인해 보안 탐지가 어려웠고, 해커는 장기간 잠복하면서 유심 정보를 유출할 수 있었다.
유심 정보가 유출되면 가장 심각한 경우 복제폰을 제작해 휴대폰 인증을 통한 금융 접근 권한을 탈취할 수 있다. 이를 바탕으로 대포폰 개통, 보이스피싱, 스미싱 등 조직범죄에 악용될 수 있다. 또한, 유심 정보와 추가 개인정보가 결합될 경우, 공공기관과 기업의 본인인증 시스템이 마비되고, 행정·금융 서비스에 심각한 차질이 빚어질 수 있다.
△SKT의 대응 조치
이번 사태 이후 SKT는 비정상 인증 시도 차단 기준을 최고 수준으로 격상하여 운용 중이며, 실시간 모니터링을 지속 강화하고 있다고 밝혔다. 이와 함께 4월 28일부터 전국 2600여 개 대리점에서 2300만 명 전 고객을 대상으로 무료 유심 교체를 시작했다. 또한, 유심보호서비스(USIM Protection Service)를 무료로 제공해 복제 유심의 타 단말기 사용을 차단하는 조치를 시행 중이다.
그러나 유심 재고 부족으로 인해 일부 고객은 오랜 기간 대기 명단에 이름을 올려야 하는 상황이며, SK텔레콤은 유심 포맷 방식 등 대체 방안을 마련 중이다.
SKT에서 유심 교체를 시작한 이유는 심 스와핑(SIM Swapping) 공격을 사전에 차단하기 위해서다. 유출된 유심 정보를 활용해 해커가 피해자의 번호로 새로운 유심을 발급받아 사용하는 심 스와핑 공격을 통해 해커는 피해자의 통신, 금융, 인증 정보를 탈취할 수 있기 때문이다.
△경찰 수사 진행 상황
서울경찰청 사이버수사과는 4월 30일, 이번 사건을 정식 수사로 전환하고 22명 규모의 전담 수사팀을 편성했다. 경찰은 디지털 증거 확보와 함께 국내외 공조 체계를 가동하여 악성코드 침입 경로와 해킹 배후를 추적하고 있다.
△사회적 파장 및 향후 전망
이번 해킹 사태로 SKT 주가는 최대 8.5% 하락하며, 2020년 이후 최대 낙폭을 기록했다. 정부는 통신사 보안체계 전반에 대한 점검을 지시했으며, 국회 과학기술정보방송통신위원회는 4월 30일 SK텔레콤 유영상 대표를 출석시켜 사고 경위와 대응 과정에 대한 질의를 진행했다.
△이용자 주의사항
- 유심 교체: 가까운 SK텔레콤 대리점 방문 또는 온라인 예약을 통해 유심 교체를 진행해야 한다.
- 유심 보호 서비스 가입: T월드 앱 또는 웹사이트를 통해 무료로 가입 가능하다.
- 의심 문자 및 링크 주의: 스미싱 등 2차 피해를 방지하기 위해 출처 불명의 메시지나 링크는 열람하지 말아야 한다.
△SKT 유심 공급업체 현황
이번 해킹사고로 인해 SKT는 전 고객의 유심을 무료로 교체하기로 결정했으며, 이에 따라 유심 재고 부족 문제가 심각한 상황이다. SKT의 유심 공급업체는 다음과 같다.
- 엑스큐어(Xcure): 국내 USIM 시장 점유율 1위로, SK텔레콤과 KT에 NFC USIM을 공급하는 대표적인 유심칩 벤더로 알려져 있다. 2022년과 2024년 하반기에 공급된 일부 유심에서 불량 가능성이 확인돼 무상 교체를 진행한 바 있다.
- 유비벨록스(UbiVelox): 스마트카드 및 모바일 솔루션 개발 업체로, SK텔레콤에 스마트카드 및 보안 솔루션을 제공하며 협력 관계를 유지하고 있다.
- SK텔링크(SK Telink): SK텔레콤의 자회사로, 유심칩을 포함한 통신 모듈을 공급하고 있다.
- 탈레스(Thales): 프랑스 기반의 글로벌 보안기업으로, SK텔레콤에 유심칩을 공급하고 있다.
▲유영상 SK텔레콤 대표이사가 30일 국회 과학기술정보방송통신위원회의에서 열린 방송통신 분야 청문회에서 유심 해킹 사태와 관련한 질의에 답하고 있다. [자료: 연합]
△드러난 문제점
이번 사태는 단순한 통신사 보안사고를 넘어 국가적 사이버 보안 체계의 취약성을 드러낸 사건으로 평가되고 있다. 이에 따라 철저한 수사와 투명한 정보 공개, 그리고 근본적인 보안 체계 개선이 요구된다.
이번 SKT의 유심 해킹 사건처럼 공급망 보안사고가 발생한 상황에서 다음과 같은 이유로 보안 아웃소싱의 인소싱 전환(내재화) 필요성이 커졌다는 지적이 제기된다.
1. 정보보호최고책임자(CISO)의 실질적 권한 및 조직 미흡: 대부분 대기업에서 CISO를 두고 있지만, 실질적인 권한이나 조직적 뒷받침이 부족한 경우가 많다. SKT 역시 이번 사건에서 드러났듯 공급망(USIM 제조, 인증 등)에 대한 실질적 통제력 부재를 엿볼 수 있는 대목이다.
2. 보안 아웃소싱의 한계: 보안 전문기업에 일부 운영을 맡기는 아웃소싱은 비용 효율성은 있지만, 다음과 같은 위험을 동반하고 있다.
- 통제력 약화: 보안사고 발생 시 빠른 대응이 어렵고, 내부 인프라나 프로세스에 대한 이해도가 낮다.
- 책임소재 분산: 사고 발생 시 아웃소싱 업체와의 R&R(Roles & Responsibilities) 문제로 신속한 대응이 불가능하다.
- 전략 부재: 장기적 보안 아키텍처 설계 및 사이버 위협 인텔리전스 축적이 어렵다.
인소싱을 통한 핵심 보안기능의 내재화는 즉각적인 대응 역량을 강화할 수 있다. CERT, IAM 등의 기능을 내부화할 경우 사고 시 빠른 인지 및 조치가 가능하다. 또한, 정보자산과 인프라에 대한 심층 이해를 바탕으로 보다 효과적인 위험 기반 보안정책을 수립할 수 있다. 이와 함께 지속적인 보안 역량 축적과 기술 고도화가 가능하고, 이를 바탕으로 기업 내부 보안문화 정착과 보안 거버넌스 체계 강화를 도모할 수 있다.
이와 관련 대기업의 보안 인프라를 구축·운영한 바 있는 보안이야기 최재영 대표는 “CISO 직속으로 보안조직을 강화하고 독립성을 보장해야 하며, USIM 인증, 통신망 보호, 공급망 검증 등 핵심 보안영역을 내재화하는 일이 무엇보다 중요하다”며, “외부 전문가는 자문 역할로 활용하고, 핵심 운영은 내부 인력 양성과 조직 정비로 대체하는 동시에 보안 인력 투자와 정규직 전환 확대가 필요하다”고 강조했다.
이어 최 대표는 “현재의 공급망 보안 환경과 사이버 위협의 고도화를 고려할 때, SKT는 아웃소싱 위주의 보안운영 체계에서 핵심 기능 인소싱 체계로 전환해야 한다”며, “이는 단순한 기술적 문제를 넘어 기업 생존과 신뢰 회복의 핵심 전략”이라고 덧붙였다.
[보안뉴스 특별취재팀(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
