SKT 유심(USIM) 정보 보안 사고, 나는 무엇을 해야 하나?

​2025년 4월, SK텔레콤은 해킹 공격으로 인해 일부 가입자의 유심(USIM) 정보가 유출되는 사고를 겪었습니다. 이로 인해 약 2,300만 명의 가입자들이 영향을 받을 수 있는 상황이 발생했습니다.

I. 사고 개요 및 경과

• 최초 인지 시점: SK텔레콤은 4월 18일 오후 6시경 사내 시스템에서 이상 징후를 감지했으며, 같은 날 오후 11시 20분경 악성코드를 발견하고 해킹 공격을 확인했습니다. 그러나 한국인터넷진흥원(KISA)에는 4월 20일 오후 4시 46분에 신고하여, 법적으로 요구되는 24시간 이내 신고 규정을 위반한 것으로 드러났습니다 . 
• 유출된 정보: 현재까지 유출된 정보는 유심 관련 일부 데이터로 알려졌으며, 정확한 유출 범위와 피해 규모는 조사 중입니다. SK텔레콤은 아직까지 해당 정보가 악용된 사례는 확인되지 않았다고 밝혔습니다 .​ 

II. 대응 조치 및 이용자 권고사항

• 유심 보호 서비스: SK텔레콤은 '유심 보호 서비스'를 무료로 제공하고 있으며, 가입자들에게 유심 비밀번호 재설정이나 유심 교체를 권장하고 있습니다. 다만, 이 서비스에 가입하면 해외 로밍이 제한되는 문제가 있어 이용자들의 불편이 제기되고 있습니다 
• 보안 강화 계획: SK텔레콤은 상반기 중 유심 보호 서비스와 해외 로밍을 동시에 이용할 수 있도록 시스템을 개선할 계획입니다
• 현실적으로 언론에 기사화된것은 극히 일부만 또는 왜곡돼서 보여주기 때문에 정확한 사고 경위는 외부인이 파악하기 어렵습니다. 그렇기 때문에 일반 고객들은 대리점가서 바로 유심(USIM) 교체하시는 것이 제일 적확한 대응일 것입니다.

III. 수사 및 향후 전망

• 경찰 수사: 서울경찰청 사이버수사대는 SK텔레콤으로부터 해킹 피해 신고를 접수하고, 해커의 정체와 개인정보 유출 규모, 경로 등에 대해 수사에 착수했습니다 .​ 

반응형

IV.  해킹 경로 유추

 이번 SKT 해킹은 장기간에 이루어진것으로 판단됩니다. 왜냐하면, USIM 정보를 가지고 있는 서버는 당연히 통신망 내의 폐쇄망에 위치하고 있을 것입니다. 폐쇄망에 있다는 것은 물리적으로는 외부에서 침입이 원천적으로 차단되었다는 것입니다.

그것을 뚫을 려면, 외부망에서 사내의 내부망으로 1차 뚫은 후, 다시 내부망에서 폐쇄망으로 연결된 취약점을 찾아내어 뚫어야 하는 것입니다.

즉, 이것은 내부망의 누군가가 폐쇄망으로 연결한 취약점이 있었다는 얘기입니다. 보통은 서버 관리자가 편의성을 위해 내부망에서 폐쇄망으로 네트워크를 연결하여 일시적으로 작업을 하는 경우에 해당됩니다. 해커는 이런 내부관리자에 의한 취약점을 찾아내어 해킹을 하였다는 이야기 일 것입니다. 하지만, 이부분도 쉽게 이해되지 않는 것은 SKT 같은 경우는 매년 화이트해커에 의해 자체 모의해킹등을 수행하여 취약점을 찾아내는 작업을 하고 있을텐데 폐쇄망이 뚫렸다는 것은 이런 활동이 미흡하지 않았나 생각됩니다.

하여간 유심(USIM) 정보가 해킹되는 방식은 일반적으로 다음과 같은 경로를 통해 이루어집니다. 이번 SKT 해킹 사례는 아직 구체적인 해킹 방식이 모두 공개되진 않았지만,

아래는 일반적인 가능성들입니다.

해커는 먼저 통신사의 내부 시스템을 노립니다. 보통 외부에서 접속할 수 없는 폐쇄망이지만, 사내 직원의 계정을 탈취하거나 피싱 메일을 통해 악성코드를 심어 업무용 PC나 서버에 침투하는 방식이 사용됩니다. 특히 보안이 취약한 API나 로그 관리 시스템, 내부 백오피스를 노려 정보를 빼내기도 합니다.

이후 해커는 네트워크 인증 서버나 유심 관리 서버에 접근하여, 가입자의 'IMSI(국제 가입자 식별번호)'나 'Ki(인증 키)'와 같은 중요한 정보를 수집합니다. 이 두 가지가 유출되면 해커는 복제 유심(SIM Clone)을 제작하여, 피해자의 문자 메시지나 인증 번호를 가로챌 수 있게 됩니다. 이 방식은 2차 인증 수단을 우회하거나 금융 계좌 탈취에도 이용될 수 있습니다.

또한 해커는 내부 협력자를 매수하거나, 고객센터에 '사회공학적 기법(소셜 엔지니어링)을 통해 접근할 수 있습니다. 예를 들어, 본인인 척 전화하여 “유심이 고장 났다”고 말하며 재발급을 요청하고, 특정 주소로 배송되게 하여 인증 수단을 탈취하는 방식입니다. 이처럼 해킹은 단순한 기술 공격뿐만 아니라, 사람의 실수나 시스템의 허점을 함께 이용하는 복합적인 방식으로 이루어집니다.
즉, 지능형 지속적 위협(APT: 지능적이고(Advanced) 지속적인(Persistent) 공격(Threat)을 가하는 해킹의 통칭) 으로 이루어 집니다.

1. 내부 시스템 침투

해커는 먼저 통신사의 내부 시스템을 공격 대상으로 삼습니다. 사내 직원의 계정을 탈취하거나, 피싱 메일을 통해 악성코드를 심는 방식으로 사내 네트워크에 침투합니다. 이러한 침입은 주로 백오피스, 내부 포털, 업무용 서버 등을 통해 이루어집니다.

---

2. 인증 서버 접근 및 주요 정보 탈취

내부 시스템에 침투한 해커는 인증 서버나 유심 관리 서버에 접근합니다. 이 과정에서 IMSI(국제 가입자 식별번호), Ki(인증 키), ICCID(유심 고유번호) 등의 민감한 정보를 수집합니다. 이 정보들은 유심 복제(SIM Cloning)에 사용되며, 탈취된 유심 정보로 사용자를 가장할 수 있습니다.

---

3. 복제 유심 제작 및 악용

해커는 탈취한 IMSI와 Ki 값을 이용해 복제 유심을 제작합니다. 복제된 유심은 원래 가입자처럼 작동하여, 문자 메시지 수신, 전화 수신, 인증번호 수신 등을 가능하게 합니다. 이를 통해 금융 인증, 계정 로그인, OTP 인증 등을 탈취할 수 있습니다.

---

4. 사회공학적 해킹 (소셜 엔지니어링)

기술적 해킹 외에도, 해커는 사람의 심리를 이용한 공격을 시도합니다. 예를 들어, 고객센터에 전화를 걸어 가입자 행세를 하며 “유심이 고장났다”고 말하고 재발급을 요청합니다. 이때 재발급된 유심을 자신이 수령하게 만들어 인증 수단을 탈취합니다.

---

5. 내부 협력자 이용

일부 경우 해커는 통신사 내부 직원과 결탁하거나, 아르바이트 등을 통해 접근 권한을 가진 사람을 포섭하기도 합니다.
이들은 가입자 정보를 직접 유출하거나, 재발급 절차를 조작하는 등의 방식으로 협조합니다.

V.  USIM 정보

┌───────────────────────┐
│        USIM 칩 구조                              │
├─────────────┬─────────┤
│ 항목         │ 설명                                 │
├─────────────┼─────────┤
│ IMSI        │ 가입자 고유번호               │
│             │ (네트워크 식별용)                 │
├─────────────┼─────────┤
│ Ki          │ 인증 키                               │
│             │ (통신사와 인증용)                │
├─────────────┼─────────┤
│ ICCID       │ 유심 카드 고유 ID          │
│             │ (20자리 번호 등)                 │
├─────────────┼─────── ─ ┤
│ MSISDN      │ 전화번호 (옵션)           │
├─────────────┼────────  ┤
│ 연락처/문자 │ 저장 가능 (구형 기능)    │
├─────────────┼─────── ─ ┤
│ PIN/PUK     │ 유심 잠금/해제 코드    │
├─────────────┼─────────┤
│ 네트워크 정보│ 로밍/접속 설정 등       │
└─────────────┴─────────┘

1. IMSI (International Mobile Subscriber Identity)
   • 국제 가입자 식별번호
   • 통신사가 사용자를 식별할 때 가장 중요한 값 (예: 45006XXXXXXXXX, 한국은 보통 450으로 시작)
2. Ki (Authentication Key)
   • USIM과 통신사 서버 간 인증에 사용되는 비밀 키
   • 외부에 노출되면 유심 복제가 가능해짐 → 가장 민감한 정보
3. ICCID (Integrated Circuit Card ID)
   • 유심 자체의 고유 일련번호 (20자리 정도)
   • 통신사에서 유심을 추적할 때 사용
4. 전화번호 (MSISDN)
   • 보통은 USIM에 저장되지 않지만, 일부 통신사/단말기는 저장해두기도 함
5. 연락처, 문자 등 사용자 데이터 (선택적)
   • 요즘은 거의 안 쓰지만, 옛날 피처폰 시절에는 연락처, 문자 등을 USIM에 저장했음
6. PIN/PUK 코드
   • USIM 잠금 해제용 비밀번호 및 복구 코드
7. 로밍 관련 정보 및 네트워크 설정 정보
   • 접속 가능한 네트워크 목록, 우선순위 등

---

 이 정보가 유출되면?

• IMSI + Ki 유출 → 유심 복제 가능
• 복제된 유심 → 문자 인증, OTP 수신, 전화 수신 등을 제3자가 가로챌 수 있음

VI. SKT의 사용자 대응 

1. 전 고객 대상 유심 무상 교체

• 교체 일정: 4월 28일부터 전국 T월드 매장 및 공항 로밍센터에서 유심 교체가 가능합니다.
• 대상: 4월 18일 기준 SKT 가입 고객 전원(알뜰폰 포함).
• 비용: 교체는 무료이며, 4월 19일부터 27일 사이에 유심을 교체한 고객은 7,700원의 비용을 환급받을 수 있습니다.
• 절차: T월드 앱 또는 홈페이지에서 가까운 매장을 확인하고 방문 예약을 권장합니다. 신분증을 지참하여 매장에서 새 유심을 발급받고 활성화합니다.

---

2. 유심보호서비스 제공

• 서비스 내용: 유심 복제 방지, 무단 기기 변경 차단, 해외 로밍 제한 기능을 제공합니다.
• 가입 방법: T월드 앱 또는 홈페이지에서 무료로 가입할 수 있습니다.
• 주의사항: 해외 로밍을 이용 중인 경우, 유심보호서비스 가입 시 로밍이 제한될 수 있으므로, 로밍 해지 후 가입을 권장합니다.

---

3. 고객 지원 강화

• 고객센터 운영 시간 연장: 114 고객센터의 운영 시간을 오후 8시까지 연장하여 고객 문의에 대응합니다.
• 사이버 침해 사고 전담센터: 080-800-0577을 통해 24시간 상담을 제공합니다.
• 고객 안내: 문자 메시지를 통해 유심 교체 및 유심보호서비스 가입 방법 등 관련 정보를 순차적으로 안내하고 있습니다.

---

4. 보안 강화 조치

• 해킹 사고 대응: 악성코드를 제거하고 의심 장비를 격리하여 추가 피해를 방지했습니다.
• 인증 시스템 강화: 불법 유심 복제 및 도용 시도를 차단하기 위해 비정상 인증 차단 시스템을 운영하고 있습니다.
• 피해 조사: 관계 기관과 협력하여 사고 원인과 규모를 조사 중이며, 현재까지 추가 피해 사례는 확인되지 않았습니다.

VII. SKT에 바라는 요청사항

• 유심보호서비스 가입시 해외 로밍을 이용 중인 경우, 로밍이 제한 되는 사항을 조속히 해외에서도 가능하도록 시스템 개선 필요합니다.
• 휴대폰의 IMEI(International Mobile Equipment Identity, 국제 이동장비 식별번호) 값과 유심의 IMSI , Ki, ICCID(유심 카드 고유 ID) 값 등과 비교하여 어떤 절차 없이는 현재의 기기와 다른 유심정보 인입 시 차단이 가능 하도록 조속한 시스템 개선 필요합니다

---

결론은  고객은 일단 T월드에서 유심보호 서비스 가입을 하셔야 할 것입니다. 다만, 유심보호서비스 가입하게 되면 해외로밍사용제한이 걸려, 해외 방문 시, 음성, 문자, 데이터를 사용하지 못하기 때문에, 해외 방문하시는 분들은 이 사건으로 무료로 진행한다고 하니 추후 대리점에서 유심 교체를 하시는 것이 바람직 할 것입니다