2,696만 건의 유심 정보가 빠져나갔습니다
2025년 4월 19일 밤 11시, SK텔레콤 내부 시스템에서 악성코드가 감지되었습니다. 다음 날 한국인터넷진흥원(KISA)에 신고가 접수되었고, 4월 22일 SK텔레콤은 공식 공지를 통해 유심 정보 유출 정황을 인정했습니다.
민관합동조사단의 2차 조사 결과에 따르면, 유출 규모는 9.82GB에 달합니다. 가입자 식별키(IMSI) 2,695만 7,749건, 단말기 고유식별번호(IMEI) 29만 1,831건이 포함되어 있었습니다. 대한민국 인구의 절반에 가까운 수치입니다.
BPFDoor — 3년간 잠복한 리눅스 백도어
데일리시큐 보도에 따르면, 이번 공격에 사용된 악성코드는 BPFDoor라는 리눅스 백도어입니다. SK텔레콤의 리눅스 서버 3만 대를 조사한 결과, 최소 28대의 서버에서 33개 변종이 발견되었습니다.
최초 웹셸 감염 시점은 2022년 6월 15일로 확인되었습니다. 공격자는 987일 — 약 2년 9개월 — 동안 네트워크 안에서 잠복하며 데이터를 수집한 것입니다. 이 기간 동안 SK텔레콤은 침입 사실을 인지하지 못했습니다.
유심이 털리면 무슨 일이 벌어지는가
유심(USIM)은 휴대폰에 들어 있는 작은 칩입니다. 전화번호, 통신사 가입 정보, 인증 키(Ki) 값이 저장되어 있습니다. 내 폰이 "나"임을 증명하는 신분증 같은 역할을 합니다.
이 정보가 유출되면 SIM 스와핑 공격이 가능해집니다. 해커가 내 유심 정보를 복제해 다른 폰에 꽂으면, 그 폰으로 내 전화번호의 문자를 수신할 수 있습니다. 은행 인증 문자, 카카오톡 인증 코드가 해커에게 넘어간다는 뜻입니다.
이글루코퍼레이션의 분석에 따르면, SK텔레콤은 인증 키(Ki) 값을 평문으로 저장하고 있었습니다. 세계이동통신사업자협회(GSMA)의 암호화 권고를 따르지 않은 것입니다. 다른 통신사들이 일반적으로 적용하는 암호화 조치와도 상반되는 관행이었습니다.
SK텔레콤의 대응
SK텔레콤은 전 가입자 대상 무상 유심 교체를 실시했습니다. TechCrunch 보도에 따르면, SK텔레콤 유영상 CEO는 국회 청문회에서 약 25만 명의 사용자가 직접적인 피해 구제 대상이라고 밝혔습니다.
보안 인프라 강화에 약 5억 1,400만 달러(약 7,000억 원)를 투자하겠다는 계획도 발표되었습니다.
지금 당장 할 수 있는 것
- 유심 보호 서비스 가입 — 통신사 앱이나 고객센터에서 무료 신청 가능
- 유심 PIN 설정 — 폰 설정에서 유심 잠금 활성화
- 문자 인증 대체 — Google Authenticator 같은 인증 앱으로 2단계 인증 전환
- 갑작스러운 통화 불가 시 — 즉시 통신사에 연락 (SIM 스와핑 징후)
| 항목 | 내용 | |------|------| | 감지일 | 2025년 4월 19일 | | 악성코드 | BPFDoor (리눅스 백도어, 33개 변종) | | 잠복 기간 | 약 987일 (2022.06.15 ~ 2025.04.19) | | 유출 규모 | IMSI 2,696만 건, IMEI 29만 건 | | 대응 | 무상 유심 교체, 보안 투자 5억 1,400만 달러 |
내 통신사가 어디든, 유심 보호 서비스와 인증 앱 전환은 지금 바로 확인할 수 있는 조치입니다.
참고