SKT 유심 해킹 대란 총정리
무엇이 유출되었고, 왜 심각한가?
2025년 4월, SK텔레콤에서 발생한 역대급 개인정보 유출 사태에 대한 심층 분석 (1/5)
이 글은 SKT 유심 해킹 대란 총정리 시리즈의 첫 번째 글입니다.
사건의 개요와 유출된 정보의 종류, 그리고 왜 이번 사태가 기존 개인정보 유출과 다른지 상세히 알아보겠습니다.
1. 사건 발생 경위: 타임라인으로 보는 SK텔레콤 유심 해킹 사태
2025년 4월 18일
SK텔레콤이 해킹 사실을 처음 인지했으나 공개하지 않음
2025년 4월 19일
SK텔레콤 홈 가입자 서버(HSS) 시스템이 악성코드에 감염되어 정보 유출 발생
2025년 4월 20일
SK텔레콤이 과학기술정보통신부와 한국인터넷진흥원(KISA)에 침해사고 신고
2025년 4월 22일
SK텔레콤이 공지사항을 통해 유심 정보 유출 사실 공개
2025년 4월 24일
연합뉴스가 'BPF도어(BPFDoor)' 악성코드를 통한 백도어 공격으로 유출됐다고 보도
2025년 4월 25일
유영상 SK텔레콤 대표이사가 공식 사과문 발표 및 전체 고객 대상 무료 유심 교체 약속
일부 금융사, SKT 이용자 SMS 본인 인증 전면 차단 조치 시작
2025년 4월 28일
전국 T월드 매장에서 무료 유심 교체 시작
SK텔레콤 주가 4% 이상 하락
2. 유출된 정보의 종류와 의미
유출된 것으로 추정되는 정보
- 1
IMEI (단말기 고유 식별 번호)
휴대폰 기기 자체의 고유 식별 번호로, 제조사가 부여한 일종의 '기기 주민등록번호'
- 2
IMSI (가입자 식별 번호)
통신사에서 가입자를 식별하기 위해 사용하는 번호로, SIM 카드에 저장된 '가입자 ID'
- 3
ICCID (유심 카드 일련번호)
유심 카드마다 고유하게 부여된 일련번호로, 물리적 SIM 카드의 '제품번호'
- 4
유심 인증키(K값)
통신사와 유심이 서로를 인증하기 위해 사용하는 비밀키로, 본인 확인의 핵심 요소
"이번에 유출된 정보는 단순한 개인정보가 아닌, 본인인증의 핵심이 되는 정보입니다. 마치 집 열쇠와 도면이 함께 유출된 것과 같은 상황입니다."
3. 기존 개인정보 유출과 다른 이번 사태의 심각성
일반 개인정보 유출
- 이름, 주소, 전화번호 등 신원 정보 유출
- 추가적인 본인인증 필요
- 피해자가 이상 징후 감지 가능
- 정보만으로는 직접적 피해 제한적
- 유출된 정보 변경 상대적으로 용이
SKT 유심 정보 유출
- 인증 자체의 기반이 되는 핵심 정보 유출
- 본인인증 과정 자체를 우회 가능
- 피해자 모르게 인증 정보 탈취 가능
- 금융 계좌, 앱 등 2차 피해 직결
- 전체 유심 교체 필요한 대규모 사태
왜 SIM 카드 복제가 가능한가?
SIM 카드의 가입자 식별 번호인 IMSI, 단말 식별 번호인 IMEI, 통신사와 HSS가 공유하는 공유 키 K가 공격자의 손에 들어가면 SIM 카드의 복제가 이루어질 수 있습니다.
이동통신망에 가입자 인증이 진행될 때 인증은 HSS로부터 내려온 RAND, AUTN을 이용, K 키와 SQN을 이용하여 인증 알고리즘을 구동함으로써 이루어집니다. 따라서 HSS 공격을 통해 이러한 정보가 노출되면 실제 소유자 모르게 유심을 복제할 수 있게 됩니다.
4. BPF도어 악성코드와 해킹 방식
이번 SK텔레콤 해킹에 사용된 'BPF도어(BPFDoor)'는 2021년 프라이스워터하우스쿠퍼스사의 위협 보고서를 통해 처음 알려진 악성 코드로, 중국 기반의 APT 해커 그룹 레드멘션(Red Menshen)이 중동과 아시아 지역의 통신 업체, 금융 서비스 등을 공격하는 데에 수년간 활용해 왔습니다.
BPF도어의 주요 특징은 다음과 같습니다:
- 알 수 없는 경로로 리눅스 시스템에 설치됨
- 평소에는 통신 흔적도 없이 조용히 잠복
- 특정 패킷이 들어오면 프로세스가 활성화
- 아웃바운드로 통신포트를 열어 원격 제어 가능
- 해커는 해당 모듈을 통해 명령어 수행 및 정보 탈취
한국인터넷진흥원(KISA)은 4월 25일 BPF도어 공격에 활용된 공격자 IP와 악성코드 해시값, 파일정보를 공개했습니다:
공격 IP: 165.232.174.130
악성코드 해시값 및 파일정보:
- hpasmmld
size: 2,265KB
SHA256: c7f693f7f85b01a8c0e561bd369845f40bff423b0743c7aa0f4c323d9133b5d4
MD5: a47d96ffe446a431a46a3ea3d1ab4d6e
- smartadm
size: 2,067KB
SHA256: 3f6f108db37d18519f47c5e4182e5e33cc795564f286ae770aa03372133d15c4
MD5: 227fa46cf2a4517aa1870a011c79eb54
사이버 보안 업체이자 사고 대응 기관인 시그니아는 이번 사고의 해킹 방식이 중국의 국영 해커 조직인 '위버 앤트'의 수법과 상당히 유사하다고 주장했습니다.
주요 시사점
- 단순 개인정보 유출을 넘어 본인인증 체계 자체의 취약성이 드러남
- 스마트폰이 지갑이 된 시대, 통신 보안과 금융 보안의 경계가 사라짐
- 해외 조직의 국내 핵심 인프라 공격 위험성 확인
- 통신사 보안 체계에 대한 전면적인 재검토 필요
다음 글에서는...
다음 글 「SKT 유심 해킹 대란 총정리 - 실제 피해 사례와 당신이 직면한 위험」에서는 부산에서 발생한 5천만원 해킹 사건과 같은 실제 피해 사례와 SIM 스와핑의 구체적인 위험성에 대해 알아보겠습니다. 또한, 해외에서 발생한 유명 SIM 스와핑 피해 사례도 함께 살펴보겠습니다.
이 글이 도움이 되셨나요?
아래 시리즈 목차를 통해 다른 글도 확인해보세요!
'이야기(한국어) > 이슈' 카테고리의 다른 글
| 2025.04.28 '침묵의 위기' - 청주 고교생 흉기난동 사건이 드러낸 우리 교육의 사각지대 (0) | 2025.04.28 |
|---|---|
| SKT 유심 해킹 대란 총정리 - 정부 대응과 달라져야 할 보안 체계(5/5) (2) | 2025.04.28 |
| SKT 유심 해킹 대란 총정리 - 내 정보와 자산을 지키는 실전 대처법(4/5) (2) | 2025.04.28 |
| SKT 유심 해킹 대란 총정리 - SK텔레콤의 미흡한 대응과 논란의 핵심(3/5) (1) | 2025.04.28 |
| SKT 유심 해킹 대란 총정리 - 실제 피해 사례와 당신이 직면한 위험(2/5) (3) | 2025.04.28 |
