SKT HSS 해킹 사태: 무엇을 알아야 하나? (2025년 4월 26일 기준)

⸻

2025년 4월 19일, SK텔레콤(SKT)의 가입자정보관리핵심서버(HSS) 일부에서 악성코드 감염 정황이 발견되어, 최대 2,480만 회선의 유심(USIM) 정보가 유출됐을 가능성이 제기되었습니다.
이는 국내 최대 통신사의 핵심 시스템이 위협받은 사건으로, 소비자 불안과 산업 전반의 보안 경각심을 높이고 있습니다.
이 글에서는 현재까지 알려진 사실, 가능한 침투 경로, SKT의 대응, 그리고 우리가 얻을 교훈을 정리합니다.

⸻

1. 사건 개요: 무슨 일이 일어났나?

사건 발생

• 일시: 2025년 4월 19일 오후 11시 40분경, SKT HSS 서버에서 정교한 악성코드 감염이 탐지됨.
• 대상: HSS는 통신망에서 가입자 인증과 식별을 담당하는 핵심 시스템. 유심 관련 데이터(IMSI, IMEI, 인증키 등)를 저장.
• 유출 가능 정보 (SKT 발표 기준):
  • IMSI: 국제모바일가입자식별번호
  • IMEI: 단말기 고유식별번호
  • 인증키(Ki): 유심과 네트워크 간 암호화 통신용 비밀키
• SKT 주장: 이름, 주민등록번호, 주소 등 개인정보는 유출되지 않은 것으로 파악.
• 영향 규모 (잠정):
  •  SKT 가입자 약 2,310만 명
  • SKT 망 알뜰폰 가입자 약 187만 명
  • 총 약 2,480만 회선 (최종 조사 결과에 따라 변동 가능성 있음)

초기 대응

• 4월 19일: 악성코드 발견 후 즉시 삭제 및 의심 장비 격리 조치
• 4월 20일: 한국인터넷진흥원(KISA)에 신고
• 4월 22일: 개인정보보호위원회(PIPC)에 신고 및 홈페이지 공지
  
  

피해 현황

• 현재(4월 26일)까지 심 스와핑, 보이스피싱 등의 직접 악용 사례는 공식적으로 보고되지 않음.
• 다만, 유출 가능 정보 특성상 복제폰 제작, 금융사기 등에 악용될 위험이 존재.
• 소비자 불편: 초기 유심 교체 비용(7,700원) 발생 → 이후 무상 교체 발표.
• 유심보호서비스 가입자 급증 (4월 24일 기준 161만 명 가입).

⸻

 

2. 침투 경로: 어떻게 뚫렸나? (현재 조사 중)

HSS는 외부 인터넷과 직접 연결되지 않은 내부망 시스템입니다. 하지만 복잡한 통신사 IT 환경(클라우드, API, 제3자 연동 등)으로 인해 다양한 침투 가능성이 존재합니다. 정확한 침투 경로는 현재 관계기관(과기정통부, 경찰 등) 조사 중입니다.
가능성이 제기된 주요 가설은 다음과 같습니다:

 

2.1 공급망 공격 가능성 (Supply Chain Attack)

• 설명: 장비 또는 소프트웨어 공급업체(예: 노키아, 에릭슨) 관련 취약점을 악용했을 가능성.
• 가설 과정:
  1. 해커가 벤더의 업데이트 서버를 해킹해 악성코드를 심음
  2. SKT가 정상 업데이트로 착각하고 설치
  3. 악성코드가 내부 시스템 침투 후 데이터 유출 시도
• 참고: 과거 중국 APT 그룹 ‘위버 앤트(Weaver Ant)’가 유사 공격 이력 있음(시그니아 보고서 기준).
  
  

2.2 제로데이 취약점 가능성 (Zero-Day Exploit)

• 설명: HSS 시스템(리눅스, 전용 소프트웨어 등) 내 알려지지 않은 취약점이 악용됐을 가능성.
• 가설 과정:
  1. 제로데이 취약점 발견 및 원격코드실행(RCE)
  2. 악성코드 삽입 및 데이터 탈취 시도
• SKT 발표에서는 “정교한 악성코드”가 사용됐다고 설명, 제로데이 가능성을 뒷받침.
• [주의]
  • 공급망 공격/제로데이 등은 공식 확인이 아니라 가능성입니다.
  • 수사 결과에 따라 경로가 달라질 수 있습니다.

⸻

3. SKT 보안 취약점 분석 (현재까지 드러난 문제)

기술적 취약점

• 패치 지연 가능성
• 일부 데이터 암호화(AES-256 등) 적용 미흡 가능성
• 침입 탐지 시스템(IDS) 고도화 부족
  
  

운영적 문제

• 보안 예산 감소 (2023년 대비 2024년 감소 추정)
• 벤더 및 협력사 관리 강화 필요성
• 직원 대상 보안 교육(특히 피싱 대응) 강화 필요성
  
  

산업적 배경

• 2024년 통신사 대상 사이버 공격 급증 (체크포인트 보고서 기준 47% 증가)
• 클라우드, API 노출 증가로 외부 공격면이 넓어짐

⸻

4. SKT 대응: 평가

초기 대응 (4월 19일~22일)

• 장비 격리, 악성코드 삭제 등 기술적 조치는 신속.
• 그러나 초기 대고객 소통은 미흡(문자 알림 없이 홈페이지 공지 위주).
  
  

후속 조치 (4월 23일~26일)

• 유심보호서비스 무료 제공 (기기변경·로밍 제한 기능)
• 4월 25일: 유심 무상 교체 정책 발표 (4월 28일부터 시행 예정)
• 4월 25일: 유영상 대표 공식 사과 발표
• FDS(비정상 인증 차단 시스템) 강화 계획 발표

평가

• 무상 교체 및 사과는 신뢰 회복 노력으로 긍정적.
• 다만, 유심보호서비스 사용상 일부 불편, 초기 소통 부족에 대한 비판 존재.

⸻

5. 사회적·산업적 파장

소비자 영향

• 심 스와핑, 금융사기 우려 확산
• 유심 교체 및 통신사 보안서비스 가입 문의 폭주
• 일부 시민단체(예: 참여연대) 집단소송 추진 논의 중
  
  

산업 영향

• KT, LGU+ 등 다른 통신사도 HSS 점검 강화 착수
• 클라우드 보안 및 MSSP(보안관제) 투자 확대 전망
  
  

정부 대응

• 과기정통부, 개인정보보호위원회, 경찰 수사 진행 중 (수개월 소요 예상)
• 개인정보보호법상 과징금 가능성

⸻

6. 교훈과 향후 과제

SKT

• AI 기반 침입탐지 고도화
• 공급망 및 협력사 보안 감사 강화
• 고객 소통 투명성 제고

정부

• 민관 공동 APT 대응 훈련 필요성
• 개인정보보호법 등 규제 강화 검토
  
  

소비자

• 유심보호서비스 가입 및 PIN 설정 권장
• 통신 비정상 사용 모니터링 및 고객센터 신고(080-800-0577)
• 비밀번호 재설정 등 추가 보안 강화

⸻

7. 결론

SKT HSS 해킹 사태는 공급망 공격, 제로데이 취약점 등 복합적 원인이 결합된 고도화된 사이버 공격 가능성이 있습니다.
SKT는 초기 대응과 소통에서 아쉬움을 남겼지만, 유심 무상 교체와 사과를 통해 신뢰 회복을 시도하고 있습니다.
이번 사건은 통신 인프라 보안의 중요성을 다시금 일깨우는 계기가 되었습니다.
조만간 발표될 수사 결과를 통해 정확한 원인과 책임 소재가 규명되기를 기대합니다.

⸻