민관합동조사단, SKT 침해사고 1차 조사 결과 발표
전화번호, 가입자식별키 등 USIM 복제 활용 가능 정보 4종 빠져나가
조사단 "유심 교체 및 보호서비스 가입해야…서비스 예약시부터 SKT가 책임"

유심 교체 안내문 붙은 SKT (서울=연합뉴스) 서대연 기자 = 가입자 유심(USIM) 정보를 탈취당한 SK텔레콤이 유심 무료교체 서비스를 시작한 28일 서울 시내 한 SKT 대리점에 유심 교체 관련 안내문이 붙어있다. 2025.4.28 dwise@yna.co.kr

(서울=연합뉴스) 조성미 기자 = SK텔레콤 가입자 정보 유출 사건을 수사 중인 정부가 가입자 전화번호, 가입자식별키(IMSI) 등 유심(USIM) 복제에 활용될 수 있는 정보 4종 등의 유출을 확인했다고 29일 밝혔다.

아울러 단말기 고유식별번호(IMEI) 유출은 없었다고 확인하면서 복제한 유심을 다른 휴대전화에 꽂아 불법 행위에 악용하는 이른바 '심스와핑' 우려는 없는 것으로 파악됐다.

다행히 해커가 이용자의 단말기와 가입자 고유정보를 조합해 휴대전화의 주도권을 장악하는 최악의 사태 우려는 없다는 이야기다.

다만 아직 해킹 사건의 전모가 밝혀진 것은 아니어서 다른 중요 정보의 유출 가능성 등 잠복해있을 위험에 대한 긴장을 늦추기에는 이른 것으로 보인다.

최악 심스와핑 우려 면했지만…"스미싱에 속아 휴대전화 끄면 위험"

과학기술정보통신부는 이번 사건 조사를 위해 꾸려진 민관합동조사단의 지난 1주일간 조사를 토대로 1차 분석 결과를 이날 발표했다.

민관합동조사단은 지금까지 SK텔레콤에서 유출된 정보를 확인한 결과 가입자 전화번호, 가입자식별키(IMSI) 등 USIM 복제에 활용될 수 있는 4종과 유심 정보 처리 등에 필요한 SK텔레콤 자체 관리용 정보 21종이 빠져나갔다고 설명했다.

조사단은 단말기 고유식별번호(IMEI) 유출은 없었다고 확인했다.

가입자 고유번호인 IMSI는 빠져 나갔지만 단말 고유번호인 IMEI는 그렇지 않기 때문에 두 정보를 조합해야 가능한 유심 복제가 불가능하다는 이야기다.

조사단은 "이에 따라 현재 SK텔레콤이 시행 중인 유심 보호 서비스에 가입하는 경우 이번에 유출된 정보로 유심을 복제해 다른 휴대전화에 꽂아 불법적 행위를 하는 이른바 '심스와핑'이 방지된다"고 했다.

그러면서 명의자가 쓰던 기기가 아닌 다른 기기에서 탈취한 명의로 통신 서비스를 접속하려 할 경우 이를 차단하는 유심 보호 서비스 가입을 적극 권장했다.

가입자와 단말기 고유식별변호가 함께 유출되며 유심 복제가 횡행할 수 있었던 가능성에서는 벗어났다는 1차 조사 결과지만 마냥 안심할 수는 없는 부분도 있다.

SK텔레콤 해커가 다른 탈취 정보와 이번 해킹에서 빼돌린 유심 정보를 조합하면 스미싱 공격을 감행할 수 있기 때문이다. 이용자가 스미싱에 넘어가면 휴대전화 주도권 탈취가 가능하다.

해커가 SKT 가입자에게 '명의 도용 등을 막기 위해 휴대폰을 껐다 켜달라' 등의 스미싱 문자를 보냈을 때 이에 속아 넘어가 휴대전화를 끄면 유심 복제가 일어날 수 있다는 설명이다.

이러한 유형의 스미싱 시도를 감시 중인 한국인터넷진흥원(KISA)은 현재까지는 해당 공격 사례는 발견되지 않았다면서도 휴대전화 재부팅을 요구하는 피싱 메시지가 오면 절대 따르지 말고 신고해달라고 당부했다.

유심 교체 시작한 SKT, 매장에 놓인 유심들 (서울=연합뉴스) 서대연 기자 = 가입자 유심(USIM) 정보를 탈취당한 SK텔레콤이 유심 무료교체 서비스를 시작한 28일 서울 시내 한 SKT 대리점에 유심들이 놓여있다. 2025.4.28 dwise@yna.co.kr

인터넷 타고 들어온 해커, 방화벽 모두 뚫고 핵심부 접근

조사단은 SK텔레콤이 공격받은 정황이 있는 서버 3종, 5대를 조사했고 기타 중요 정보들이 포함된 서버들에 대해 조사를 확대 중이라고 밝혔다.

조사단은 또 해킹 사건 조사 과정에서 침투에 사용된 BPF도어(BPFDoor) 계열의 악성코드 4종을 발견했다고 밝혔다.

이 공격 수법은 리눅스 운영체제에 내장된 네트워크 모니터링·필터 기능을 수행하는 BPF(Berkeley Packet Filter)를 악용한 백도어라는 설명이다. 은닉성이 높아 해커의 통신 내용을 탐지하기 어려운 특징이 있다.

SK텔레콤이 국회 과학기술정보방송통신위원장인 최민희 의원(더불어민주당)에게 제출한 자료에 따르면 이번 해킹으로 유출된 정보는 이미지, 영상 정보가 아닌 텍스트 데이터로 9.7기가바이트(GB)에 달한다.

가입자 1명당 유심 정보량 144킬로바이트(KB)로 나누면 무려 6천736만명분이지만 그렇다고 이 데이터 유출분에 전체 가입자 2천300만명의 유심 정보가 몽땅 포함됐다고 단정하기는 어렵다.

SK텔레콤이 가입자 정보를 분산한 서버 총 14대 가운데 일부인 3대에서만 유출이 이뤄졌기 때문이다.

최 위원장실에 따르면 인터넷망으로 침입한 해커는 각각의 방화벽을 뚫고 SK텔레콤 사내망을 거쳐 관리망까지 뚫은 뒤 가장 심층부인 내부망에 접근한 것으로 파악됐다.

한편, 과방위 소속 최수진 의원(국민의힘)에 따르면 SK텔레콤은 해킹 인지 직후 자체 포렌식에 착수했으나 실패한 것으로 전해졌다. 해커가 침입 경로 등의 흔적을 모두 지우고 빠져나가 자체 조사에 난항을 겪은 탓이다.

이후 과기정통부가 꾸린 민관합동조사단이 포렌식을 진행 중이다.

이에 대해 조사단 관계자는 "사업자도 이상 징후를 발견하고 확인 작업했을 것으로 보이나 조사 시 움직인 데이터, 조치의 적합성 등은 모두 진상 조사의 영역"이라고 언급했다.

'SK텔레콤은 끝까지 책임을 다하겠습니다' (서울=연합뉴스) 김성민 기자 = 가입자 유심(USIM) 정보를 탈취당한 SK텔레콤이 유심 무료교체 서비스를 시작한 지 이틀째인 29일 서울 시내 한 SKT 대리점에 'SK텔레콤은 끝까지 책임을 다하겠습니다'라는 문구가 쓰여 있다. 2025.4.29 ksm7976@yna.co.kr

csm@yna.co.kr

▶제보는 카톡 okjebo

Copyright © 연합뉴스. 무단전재 -재배포, AI 학습 및 활용 금지