2025년 SK텔레콤 유심 해킹 사건

 SKT 유심 해킹 사건의 발단, 공격자가 어떻게 침투했는지, 어떤 방식으로 공격을 했는지, 우리가 조심해야 할 부분까지 비전공자도 이해하기 쉽게 정리해보려고 합니다. 이 사건이 왜 중요한지, 앞으로 우리가 무엇을 조심해야 하면 좋을지까지 정리해보겠습니다

1. 사건 개요 

올해 4월에 대한민국 최대 통신사인 SKT의 내부망이 해킹당하는 사건이 발생했습니다.

여기서 핵심은 단순히 해킹을 당한게 아니라(해킹은 알게 모르게 많이들 당하니까..) '유심 정보'의 데이터가 유출되었다는 점입니다

이 말은 "누군가 내 핸드폰인척 하면서 내 이름으로 금융 거래를 할 수 있다"는 점에서 많이 위협적입니다.

2. 유심이란?

유심은 전화, 문자, 인터넷을 사용할 수 있게 해주는 손가락 한 마디 크기의 작은 칩입니다.

단순한 칩이 아니라 유심 안에는 나를 증명할 수 있는 핵심 정보가 담겨 있습니다.

유출된 주요 정보로는 아래와 같습니다

항목	설명	일상에서의 비유
IMSI	가입자 고유 식별번호	주민등록번호
IMEI	단말기 고유번호	휴대폰의 차대번호
ICCID / 인증키	유심 자체 인증키	신분증 비밀번호

해커는 가짜 유심을 만들어서 "내가 너야"라고 주장하면서 금융사나 기관을 속일 수 있는 셈입니다.

3. 해커의 SKT 침투 방법?

VPN장비 취약점 악용

SKT의 내부망은 외부랑 격리된 폐쇄망이지만, 직원 원격 접속용 ICS VPN장비가 단일 취약점으로 작용했습니다. 

공격자는 23년도 12월에 발견된 취약점(CVE-2023-46805, CVSS8.2)과 24년 1월에 공개된 취약점(CVE-2024-21887)을 연계해서 원격 코드실행을 성공시켰습니다. 이 2가지 취약점의 조합으로 취약점 위험도 "심각"수준으로 발생했고, 이 방법으로 전세계적으로 2000건 이상의 공격 사례가 보고되고 있었습니다.

 

침투과정

1. VPN 열기: 해커가 인증절차를 우회해 내부망 접근 권환 획득
2. 명령어 주입: 관리자 권한으로 악성코드 설치/실행
3. 폐쇄망 우회: 외부와 차단된 HSS서버에 간접 접근해 유심 데이터 추출 

• 폐쇄망: 외부와 물리적으로 연결이 철저히 차단된 네트워크 
• HSS: 가입자 정보 등 핵심 정보를 저장하는 폐쇄망 전용 서버
• 우회: 정상적인 과정을 피해 다른 방법으로 접근 

4. 침투 후 내부 활동 (고급 악성코드 BPFDoor 설치)

BPFdoor란 

• 리눅스 기반의 백도어 프로그램
• 시스템이 꺼졌다가 다시 켜져도 살아있음
• 외부 명령을 계속 수신해서 정보 탈취 가능

SKT 내부망에 이 프로그램이 설치된 후에 해커는 유심 인증 시스템에 접근하고 민감 데이터를 탈취한 것으로 분석됨

이게 위험한 이유중 하나가 일반적인 백신/보안 솔루션에는 탐지되지 않는 것입니다

 

5. 실제 피해 및 SKT의 대응 상황

피해

1. 수백만 건의 유심 인증 정보 유출
2. 일부 사용자들에게 실제 명의도용 시도 정황
3. SKT 측 유심 교체 요청 폭주 → 재고 부족 사태

SKT 및 정부의 대응

• 유심 무료 교체 진행 (우선순위: 피해 의심 사용자)
• 고객센터 대기 시간 폭증
• 경찰청, 과기정통부, KISA 등이 공동 조사팀 구성
• 피해 고객 보호 위한 금융권 협력 대책 논의

간단 비유

 대형 아파트 단지의 경비실 시스템이 해킹당해서 모든 세대의 도어락 비밀번호와 입주자 명단이 유출

해커는 경비 시스템의 취약한 원격 접속 기능(VPN)을 이용해 내부에 침투

카메라에 들키지 않는 프로그램(BPFDoor)을 심어놓음

입주민들은 본인 집에 누가 들어올지 모른다는 불안감을 가지고
 도어락을 급히 교체해야 하는 상황에 처하게 된 셈