[SK텔레콤] 장기 침투형 해킹으로 전 가입자(2천7백만) 유심(USIM) 정보 유출_2025년 4월

SK텔레콤, 장기 침투형 해킹으로 전 가입자 유심 정보 유출 … 개인정보 일부 저장 서버도 감염 확인

 

 

 

□  개요  

    2025년 4월 18일(금) 오후 6시 9분경, SK텔레콤은 트래픽 이상 징후를 탐지하고 내부 조사에 착수했다. 이후 **과금 분석 장비(WCDR)**에서 리눅스 기반 백도어 악성코드인 BPFDoor로 추정되는 흔적이 발견되었고, 추가 조사 결과 가입자 핵심 정보가 저장된 HSS(Home Subscriber Server) 시스템까지 침해당한 사실이 확인되었다.

   4월 19일(토) 저녁, 일부 유심 정보 유출 정황이 확인되었고, SK텔레콤은 관계기관에 침해사고를 신고하였다. 조사 결과에 따르면 최초 악성코드 유입은 2022년 6월 15일로, 장기간에 걸친 은밀한 침투가 있었던 것으로 분석된다.

   2025년 5월 19일 민관합동조사단 발표에 따르면, IMSI 기준 약 2,700만 건의 유심 정보가 유출되었으며, 감염된 서버는 총 23대로, 그중 일부 서버에는 단말기 고유식별번호(IMEI), 이름, 생년월일, 전화번호, 이메일 등 개인정보가 저장되어 있었던 사실이 확인되었다. 현재까지 악용 사례는 공식적으로 확인되지 않았으나, 유심 복제를 통한 범죄 악용 가능성이 강하게 제기되고 있으며, SK텔레콤은 유심 보호 기능 강화, 전면 교체, 자동 포맷 기능 도입 등의 대응을 진행 중이다.

 

□  사고내용 요약  

    1. 회사명 : SK텔레콤
    2. 사고유형 : 리눅스 기반 악성코드(BPFDoor 등) 감염에 따른 유심 관련 정보 및 일부 개인정보 유출

    3. 개인정보 유출범위
         - 유심(USIM) 정보 : IMSI 기준 26,957,749건
         - 해당 수치는 SK텔레콤 및 알뜰폰 가입자 전원 규모
    4. 유출항목
         - 유심 복제에 악용 가능한 핵심 정보 4종 (IMSI, ICCID, MSISDN 등)
         - SKT 내부 유심 처리용 관리 정보 21종
         - 일부 서버에서는 단말기 고유식별번호(IMEI) 및 이름, 생년월일, 전화번호, 이메일 등 개인정보가 저장된 사실 확인
         - 다만, 방화벽 로그 상 2024년 12월 3일 ~ 2025년 4월 24일 사이 외부 유출 흔적은 없음
    5. 최초 악성코드 설치 시점 : 2022년 6월 15일(3년전)
    6. 추정 배후 : 특정되지 않았으나, 일부 보안 전문가는 중국계 해커조직 ‘레드멘션(Red Mansion)’ 추정
    7. 피해 확산 우려
         - 유심 복제 통한 대포폰 개통 등 금융·보이스피싱 범죄 악용 우려
         - 해외 체류 고객 보호 조치의 사각지대 지적

 

□  해킹대응 타임라인  

    -  2025년 4월 18일(금) 18:09 : SKT 네트워크 인프라센터, 트래픽 이상 징후 최초 감지
          · 정보보호실 → 인프라운용본부에 상황 공유, 즉시 조사 착수

 

    -  2025년 4월 18일(금) 23:20 : 과금분석장비(WCDR)에서 악성코드 및 파일 삭제 흔적 확인
          · 리눅스 기반 백도어 ‘BPFDoor’로 추정

          · 포트 비노출, 방화벽 우회, 탐지 회피 기능 보유

          · 공격 배후는 특정되지 않았으며, 일부 보안사는 중국계 해커 조직 ‘레드멘션’으로 추정

    -  2025년 4월 19일(토) 01:40 : WCDR 장비 격리 및 본격 포렌식 분석 착수
          · 보안 대응 체제 ‘비상 수준’으로 격상

          · HSS(Home Subscriber Server) 서버에 악성코드 감염 정황 확인

              →  가입자 전화번호, 유심 고유식별번호 등 핵심 가입자 정보 보관 시스템

              →  하위 시스템 침해를 통해 HSS까지 접근한 것으로 추정

              →  일부 유심 정보 외부 유출 가능성 제기됨

 

    -  2025년 4월 20일(일) 15:30 : SKT 내부 결정권자에게 해킹 사실 보고

 

    -  2025년 4월 20일(일) 16:46 : 한국인터넷진흥원(KISA)에 침해사고 공식 신고
          · 신고 기준 시점 논란 발생: ‘최초 감지’(18일) vs. ‘유출 사실 확정’(19일)

          · KISA, 신고서 작성자 인지 시점 변경 과정에서 혼선 인정

          · ‘봐주기식 대응’ 논란 불거짐

          · 경찰, ‘SKT 유심 해킹 사건’ 전담 수사팀 편성

          · 금융당국, ‘SKT 해킹’ 비상대응본부 구성

 

    -  2025년 4월 22일(화) : 개인정보보호위원회에 개인정보 유출 정황 신고

          · SKT, 유심 정보 유출 의심 공식 발표

          · “4월 19일 23시경 유심 관련 일부 정보 유출 정황 발견”

          · 대응책 : 유심 보호 서비스 무료 제공, FDS 강화, 시스템 전수조사 등

 

    -  2025년 4월 23일(수) : SKT, 유심보호서비스 관련 안내 문자 발송 시작

          · 전 고객 대상, 순차 발송

 

    -  2025년 4월 24일(목) : 유심 보호 서비스 확대 관련 공식 공지

 

    -  2025년 4월 25일(금) : 고객 정보 보호 조치 발표문 공개

          ·  유심 무상 교체 시행 안내

 

    -  2025년 4월 25일(금) :  KISA, 해킹 악용 악성코드·IP 등 위협정보 1차 공유 및 주의 안내

   

    -  2025년 4월 28일(월) :  유심 무료 교체 서비스 개시

          ·  전국 매장 및 공항 로밍센터 운영 시작

 

    -  2025년 4월 29일(화) :  과학기술정보통신부, SKT 침해사고 1차 조사 결과 발표

          ·  단말기 고유식별번호(IMEI) 유출 없음 확인

250430 조간 (보도) 과기정통부, SKT 침해사고 1차 조사결과 발표(최종) (1).hwpx

0.09MB

 

   -  2025년 5월 1일(목) : 과기정통부, 유심 부족 해소 시까지 신규가입 중단 행정지도

          ·  개인정보보호법 일부개정안 발의(더불어민주당 이정문 의원)

개인정보보호법 일부개정법률안(이정문의원 대표발의)_20250501.pdf

0.12MB

※ 개정안 발의 주요내용
   1. ▲1000명 이상 정보주체에 관한 개인정보 유출 ▲민감정보·고유식별정보 유출 ▲ 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의한 개인정보 유출 시, 2년간 유출된 정보의 불법유통 여부를 모니터링하고 모니터링 결과를 개인정보보호위원회에 보고하도록 의무화
      - 모니터링 미이행 또는 보고 의무 위반 때 3000만원 이하 과태료 부과 조치 마련

   2. 유출된 개인정보가 불법 유통되는 것을 확인한 경우 정보를 유통하는 자를 수사기관에 고발
   3. 개인정보 유출로 피해를 입은 정보주체가 해당 정보의 불법유통 의심 때 개인정보보호위원회 등 전문기관에 신고 할 수 있는 법적 근거를 마련

 

 -  2025년 5월 2일(금) : SKT, 모든 이용자 대상 유심보호서비스 자동가입 발표

          · 정부, 개인정보 불법 유통 모니터링 강화 방침

          · 개인정보위, SKT에 가입자별 유출 사실 통지 요구

 

 -  2025년 5월 3일(토) : KISA, 해킹 위협정보 2차 공유 - 악성코드 8종 추가 공개

          ·  민관 합동조사단, 악성코드 유입경로 및 피해 범위 정밀 분석 착수

 

 -  2025년 5월 4일(일) : SKT, 유심 보호와 해외 로밍 동시 적용 방안 개발 중 발표

          · 유심 교체 예약 신청자 780만 명 돌파

 

 -  2025년 5월 5일(월) : SKT, 신규가입 및 번호이동 접수 중단 (직영·대리점 중심)

          · 유심 물량 5월·6월 각각 500만 장 확보 계획 발표 (총 1천만 장)

 

 -  2025년 5월 6일(화) : 개인정보위, SKT에 전체 시스템 전수조사 착수 발표

          · 유출 고객에 대한 통지 의무 강조(유출된 고객에게 반드시 통지)

 

 -   2025년 5월 7일(수) : SKT, 유심보호서비스 100% 적용 완료 발표
          ·  해외 체류자 제외한 전체 이용자에 자동 적용 완료
          ·  5월 14일부터 해외 로밍 이용자 대상 자동 적용 예정
              →  전 고객 대상 보안 서비스 일괄 적용 마무리
              →  실시간 변조 감지·탐지 기능이 강화된 유심보호서비스 2.0 배포 준비

 -   2025년 5월 8일(목) : SKT, ‘사이버 침해 대응 FAQ’ 발표
          ·  유심보호 원리, 보안취약점 대응 내용, 고객별 대응 조치 등 기술적 설명 제공
          ·  고객 대상 보안 대응 투명성 확보 목적
              → 유심 정보 유출 가능성, 암호화 내역, 시스템 접근통제 강화 방안 등 기술적 사항 포함

 -   2025년 5월 9일(금) : 국회 입법조사처, 정보보호법 개정 권고
          ·   개인정보보호법 및 정보통신망법 개정 필요성 제시
              →  유출 사실 특정이 어려운 경우에도 ‘예방적 통지·조치’가 가능하도록 법 개정 필요
              →  기업 보안 의무 강화 및 ‘전 고객 통지’ 요건 명문화 필요성 지적

 -   2025년 5월 11일(일) : 유심(USIM) 포맷 기능 지원 발표
          ·   05.12(월)부터 유심 일부 정보 변경해 유심 교체와 동등한 정보보호 효과 제공
             ※ ‘유심 재설정’은 유심에 존재하는 ▲사용자 식별/인증 정보 ▲사용자 직접 저장 정보 중 ‘사용자 식별/인증 정보’의 일부를 새로운 정보로 변경하는 방식
                   -> 해당 정보가 변경되면 누군가 기존에 유출된 유심 정보를 확보해 복제를 시도하더라도 시스템 접속이 차단 된다.

 -   2025년 5월 13일(화) : 민관합동조사단, 개인정보보호위원회에 개인정보 포함 서버의 해킹 사실 통보
          ·  조사단은 개인정보가 포함된 서버의 해킹 사실을 확인하고, 개인정보보호위원회에 해당 사실을 통보함

 -   2025년 5월 14일(수) : 민관합동조사단 전체 회의 개최
          ·  조사단은 감염된 서버 중 개인정보 등을 저장하는 2대의 서버에 대한 정밀 분석 결과를 공유하고, 추가 조치 방안을 논의함

 -   2025년 5월 18일(일) : 민관합동조사단, 개인정보 포함 서버에 대한 2차 정밀 조사 실시
          ·  조사단은 감염된 서버 중 개인정보 등이 저장된 2대의 서버에 대해 2차 정밀 조사를 실시함

 -   2025년 5월 19일(월) : 민관합동조사단, SK텔레콤 침해사고 2차 조사 결과 발표
          ·  감염된 서버 총 23대 확인, 이 중 15대는 정밀 분석 완료, 8대는 분석 진행 중
          ·  악성코드 총 25종(BPFDoor 계열 24종 + 웹셸 1종) 발견 및 조치
          ·  유출된 유심 정보는 IMSI 기준 26,957,749건으로, SK텔레콤 및 알뜰폰 이용자 전원 규모
          ·  감염된 서버 중 2대에서 단말기 고유식별번호(IMEI) 포함 개인정보(이름, 생년월일, 전화번호, 이메일 등) 저장 확인
          ·  해당 서버의 방화벽 로그 기록이 있는 기간(2024년 12월 3일~2025년 4월 24일)에는 자료 유출 없음 확인
          ·  최초 악성코드 설치 시점은 3년전인 2022년 6월 15일로 특정

250519 석간 (보도) 민관합동조사단 SKT 침해사고 조사결과 2차 발표(수정).hwpx

0.09MB

 -    (분석 진행중) - - -

 

□  개인정보 유출사고 공지  

 

 

 

 

 

 

□  대응방안  

    -  유심(USIM) 보호 서비스 신청
    -  대리점을 통한 유심(USIM)칩 물리적 교체

    -  불법 유심 복제 및 비정상 인증 차단 강화
    -  악성코드 즉시 삭제 및 해킹 의심 장비 격리
    -  정부(KISA, 개인정보보호위원회 등)와의 공조 및 현장 대응

 

□  관련기사(출처)  

• SKT “해킹 당했다…가입자 유심 정보 유출 의심” 자진신고 - 한겨례
• 개인정보위, '개인정보 유출' SKT 조사 착수…"2차 피해 주의" - 연합뉴스
• 믿었던 SKT마저 해킹사고...고객정보 유출 가능성에 '발칵' - 뉴스트리
• SKT 가입자 유심 정보 유출…정부 비상대응 돌입 - 전자신문
• 개인정보위, SKT 유출사고 조사 착수…"위반 확인 시 엄정 처분" - 디지털데일리
• SKT 해킹에 이용자 개인정보 유출 가능성… 당국, 비상대책반 구성 - 국제신문
• SKT 이용자 유심 관련 해킹…이용자 개인정보 유출 가능성 - SBS뉴스
• SKT 시스템에 해커가 악성코드…"이용자 유심정보 유출 정황"(종합) - 연합뉴스
• '최대 이동통신사' SKT 해킹...이용자 유심 정보 유출 - YTN
• 개인정보위, SK텔레콤 유출 사고 즉시 조사 착수 - 지디넷코리아
• SKT, 해킹으로 이용자 개인정보 유출 가능성…당국, 비상대책반 구성 - 매일신문
• SKT, 해킹으로 유심 등 개인정보 유출…북한 소행? - MBN뉴스

 

감사합니다.