SK텔레콤 유심 해킹 사태
2025년 4월 18일 발생한 SK텔레콤의 유심(USIM) 정보 유출 사태는 국내 통신 역사상 최대 규모의 개인정보 침해 사례로 기록되었습니다. 5월 8일 기준으로 법적·정치적 파장이 확산 중이며, 해킹으로 인해 2,500만 명 이상의 가입자 정보가 유출되었고, BPFdoor 악성코드를 통한 고도화된 공격이 확인되었습니다.
SK텔레콤의 지연된 신고와 미흡한 위기 대응은 기업 책임론을 부각시켰고, 집단소송 참여자 수가 3만 명을 넘어섰습니다. 국회는 5월 8일 청문회를 통해 위약금 면제 및 법적 책임 강화 방안을 논의 중입니다.
[현장영상] SKT '이용자 유심 정보' 2,600만 건 유출…악성코드 25종 확인
SKT 해킹 사태로 유출된 이용자의 유심 정보가 SKT 전체 이용자 규모를 뛰어넘는 2천6백만 여건으로 드러났습니다. 민관합동조사단의 2차 조사 결과, 유출된 유심 정보는 9.82GB 규모, 가입자 식별키(IMSI) 기준으로는 2천695만 7,749건에 이르며, 단말기 고유식별번호(IMEI) 29만 1,831건과 개인정보가 포함된 파일이 발견되었습니다.
고객 보호를 위한 추가 조치 안내
SK텔레콤의 공식 채널에서 제공하는 "[알려드립니다] 고객 보호를 위한 추가 조치 안내" 영상입니다. 유심 해킹 사태에 대한 공식 대응 및 고객 보호 조치에 대해 확인하세요.
출처: SK텔레콤 공식 유튜브
핵심 침해 정보
1차 조사: HSS 인증 서버 3대에서 9.7GB 데이터 유출(25만 명분), 전화번호·IMSI·Ki 인증키 탈취, IMEI 유출 없음
2차 조사: 감염서버 총 23대, 악성코드 25종 발견, 개인정보 서버 2대 감염 확인, IMEI 291,831건 포함 파일 발견
사건 개요
대응과 논란
법적 파장
향후 과제
사건 개요 및 기술적 배경
유출 규모와 정보 특성
- 2025년 4월 18일 SK텔레콤 네트워크 인프라센터 비정상 트래픽 탐지
- 음성인증장비(HSS) 3대에서 9.7GB 데이터 유출 (약 25만 명분)
- 전화번호(MSISDN), 국제이동통신가입자식별번호(IMSI), 유심 인증키(Ki) 유출
- 유출된 정보로 심스와핑(SIM swapping)이나 복제폰 제작 가능
공격 기법과 보안 취약점
- BPFdoor 리눅스 기반 백도어 악성코드 사용
- eBPF 기술 악용하여 방화벽 우회 및 탐지 회피
- 포트 노출 없이 외부 서버와 통신하는 특수 기술 활용
- SK텔레콤 VPN 취약점을 통한 내부망 침투
- 침투 시점은 수개월 전으로 추정
최근 타임라인
- 2025.07.04government진행중민관합동조사 최종 결과 발표 및 위약금 면제 결정과학기술정보통신부는 민관 합동 조사단의 최종 조사에서 해커의 공격이 2021년부터 이뤄졌으며 SK텔레콤이 2022년 자체 조사로 침해 사실을 발견하고도 제대로 조치하지 않으면서 사태를 키운 사실이 드러났다고 밝혔다. 정부는 휴대전화 복제에 악용될 수 있는 단말기식별정보(IMEI) 역시 유출되지 않았다고 확언할 수 없지만, 복제폰으로 인한 2차 피해 우려는 하지 않아도 된다고 강조했다. 또한 정부는 이번 사고 책임이 SK텔레콤에 있고 계약상 중요한 안전한 통신을 제공해야 하는 의무를 위반했으므로 위약금 면제 규정에 해당한다고 공식 발표했다. 유상임 과기정통부 장관은 "이번 SK텔레콤 침해사고는 국내 통신 업계뿐만 아니라 네트워크 인프라 전반의 정보 보호에 경종을 울리는 사고였다"고 밝혔다.
- 2025.07.03government이재명 대통령 위약금 관련 발언이재명 대통령은 수석보좌관회의에서 SK텔레콤 해킹 사고에 대한 대응 현황을 보고받으며 위약금과 관련해 "계약 해지 과정에서 회사의 귀책 사유로 피해자들이 손해를 보는 일이 없어야 한다"고 강조했다. 강유정 대통령실 대변인은 "대통령님은 법률을 피해자 쪽에 적극적으로 해석해야 한다는 말씀을 하셨다"며 "계약 해지의 위약금 부분에 있어서는 국민의 이익을 최대한 반영해야 한다는 말씀"이라고 설명했다.
- 2025.07.01government7월 4일 국회 보고 예정과학기술정보통신부가 오는 4일 SK텔레콤 유심 해킹 사태에 대한 민관합동조사결과를 국회에 보고한다.
법적·사회적 영향 요약
집단소송 현황
- 7개 법무법인이 집단소송 진행 (참여자 3만명 초과)
- 개인정보보호법 제39조 근거, 1인당 50~300만원 위자료 청구
- SK텔레콤 손해배상 책임보험 한도 10억원 불과
- 금융감독원, 보험사 협상 통해 한도 상향 검토중
향후 과제
- 통신사 보안 예산 증액 (SKT 600억→KT 1,218억원 수준으로)
- 과기정통부, 5월 15일까지 전 통신사 보안 인프라 특별점검
- HSS 서버 이중화 및 실시간 모니터링 시스템 도입
- 2026년 모바일 신분증 연계 통신 인프라 보안 강화
- 생체인증 또는 블록체인 기반 솔루션 도입 검토