유사 해킹사례

발생 시기 및 공격 유형
KT에서는 2021년 12월부터 2022년 초까지 심스와핑(SIM Swapping) 공격이 발생했습니다. 이는 SKT 해킹 사태보다 3년 전에 발생한 사건이었으며, 국내에서 보고된 첫 번째 심스와핑 사례로 알려져 있습니다.

피해 규모
경찰에 신고된 피해 사례만 최소 36건으로 확인되었으며, 일각에서는 30명 이상의 피해자가 발생했다는 주장도 있었습니다. 피해액은 수백만 원에서 수억 원까지 다양했으며, 한 피해자는 퇴직금으로 투자한 2억 7천만 원 상당의 가상화폐를 모두 탈취당했습니다.

피해 패턴
보안뉴스가 조사한 첫 번째 피해자는 2021년 12월 23일과 24일 새벽에 연속으로 공격을 받았습니다. 피해자들은 모두 KT 통신망 사용자였으며, 가상자산 거래소에 계정을 가지고 있었다는 공통점이 있었습니다. 공격자는 일반 통신 단절을 유도한 후, 피해자가 잠에 있는 새벽 시간대에 기기변경을 시도했습니다. 그 다음엔 네이버와 카카오 계정 접근을 통해 가상자산을 탈취한 후, 이를 통해 다시 금융계좌 비밀번호 변경을 시도하는 방식으로 진행되었습니다.

KT의 대응
KT는 첫 번째 피해자에게 "유심이 다른 단말기에 장착됐다가 다시 변경됐기 때문에 문제를 확인할 수 없다"며 경찰에 신고하라는 답변을 했습니다. 이후 특정 시간대에 유심 변경을 막는 임시 조치를 취했지만, 근본적인 원인 파악에는 실패했다고 알려졌습니다.

이 사건은 SKT 해킹 사태에서 나타날 수 있는 2차 피해의 전례라고 볼 수 있으며, 통신사들이 이용자 보호를 위해 유심 교체 및 보안 강화 조치가 얼마나 중요한지를 보여주는 사례입니다.

발생 시기 및 유출 내용
LG유플러스는 2023년 1월 해킹 공격을 받아 약 30만 건의 고객 개인정보가 유출되었습니다. 사실 이 정보는 2018년에 이미 유출됐으나 2023년에 다크웹에서 발견되면서 뒤늦게 사고가 드러났습니다.

유출된 정보 범위
유출된 정보에는 휴대전화번호, 성명, 주소, 생년월일, 이메일 주소, 아이디, USIM 고유번호 등 26개 항목이 포함되었습니다. 고객인증시스템(CAS)이 해킹당했는데, 이 시스템은 부가서비스 가입·해지 기능을 제공하는 시스템이었습니다.

LG U+의 대응
LG유플러스는 2023년 2월 20일부터 피해를 입은 고객부터 우선적으로 유심 무료 교체를 시작했습니다. 22일까지 사흘간 총 2,100건의 유심을 교체했고, 피해를 입지 않은 고객도 3월 1일부터 무료 교체가 가능하도록 조치했습니다.

행정 처분
개인정보보호위원회는 이 사건에 대해 LG유플러스에 과징금 68억 원을 부과했습니다. 조사 결과 LG유플러스의 고객인증시스템은 보안이 매우 취약한 상황이었으며, 운영체제, 데이터베이스, 웹서버 등 모든 시스템이 보안 업데이트가 이루어지지 않은 상태였습니다. 또한 기본적인 보안조치인 침입차단시스템과 침입방지시스템 등도 제대로 관리되지 않았습니다.

주목할 점은 최장혁 개인정보보호위원회 부위원장이 2025년 4월 29일 정례브리핑에서 "SK텔레콤 유심 해킹사고는 LG유플러스의 개인정보 유출사고와는 차원이 다르다"고 언급했다는 것입니다. LG유플러스의 경우 부가서비스 관련 시스템 침해였지만, SK텔레콤은 메인서버격인 홈가입자서버(HSS)가 해킹된 사례로, 피해 규모와 성격이 더 심각하다고 평가했습니다.

T-Mobile US는 지난 몇 년간 여러 차례 대형 데이터 유출 사고를 겪었습니다. 2021년 8월, 해커가 T-Mobile 시스템에 침투하여 약 5,000만 명(현직 780만+과거 지원자 4천만)의 고객정보를 탈취한 사건이 있었습니다.

이때 유출된 정보에는 이름, 생년월일, SSN(사회보장번호), 운전면허증 번호 등 개인정보 외에, 전화번호와 단말기 IMEI, IMSI 번호도 포함되었습니다. 그러나 SIM 인증키(Ki)나 패스워드 등은 포함되지 않은 것으로 발표되었습니다.

즉 개인식별정보+디바이스 식별정보 유출이었고, 인증 비밀정보는 유출되지 않았던 점이 SKT 사건과 다릅니다. T-Mobile 해커(미국인 청년 존 빈스 등으로 추정)는 훔친 데이터를 다크웹에 판매하려 했고, 실제 일부 데이터가 유출되어 사기 등에 악용되었습니다.

T-Mobile은 이때 모든 유출 고객에게 2년간 무료 신용모니터링을 제공하고, 계정 PIN 초기화 등의 대응을 했습니다. 하지만 SIM 교체와 같은 조치는 하지 않았습니다. 왜냐하면 Ki 등의 유심 인증정보는 유출되지 않아 SIM 복제 위험은 없었기 때문입니다. 대신 T-Mobile은 Scam Shield 등의 스팸 차단 서비스 이용을 권하고, 고객들에게 비밀번호/PIN 강화를 안내했습니다.

기술적으로 볼 때, SKT 사건이 코어망(HSS) 침투로 SIM 인증정보까지 나온 것에 비해, T-Mobile 2021 사건은 고객 DB 위주의 유출이었습니다. 알려진 원인도, T-Mobile의 경우 노후된 GPRS 네트워크 장비의 취약점을 통해 해커가 내부 접근했다고 전해졌습니다 (일부 보도에 의하면, 해커가 폭스콘 라우터 설정 오류를 악용해 DB 크레덴셜을 얻어냈다고 함).

이에 비해 SKT는 VPN 및 리눅스 서버 경유 APT 침투로 경로가 다릅니다. T-Mobile은 이후에도 2022년, 2023년 연달아 해킹을 당했습니다. 2023년 1월 발표된 사건에서는 37백만 명의 고객 데이터(이름, 전화번호, 청구주소 등)가 한 해커에 의해 도난당했습니다. 이때는 API 취약점을 이용한 공격으로, 해커가 인증 없이 대량의 계정정보를 획득했습니다.

역시 IMSI 등이 포함되었으나 Ki는 없었고, T-Mobile은 주로 API 보안 강화와 고객 공지 정도로 대응했습니다. T-Mobile 사례들은 주로 사이버범죄자들이 금전 목적으로 벌인 해킹이며, 데이터 판매로 이어졌습니다. 반면 SKT 사건은 국가 혹은 조직적인 APT 가능성이 높고, 유출 정보도 비교적 타깃형 (통신 인증 정보)입니다. 공통적으로 수천만 명 규모 통신 가입자 정보가 노출되었다는 점은 같지만, 성격과 동기, 영향 범위에서 차이가 있습니다.

미국 AT&T 역시 대규모 데이터 침해를 겪었습니다. 2022년에 AT&T의 콜 기록/문자 기록 데이터베이스가 해킹되어, 거의 전 고객(약 1억 명)의 통화 메타데이터가 유출되는 사고가 발생했습니다.

2024년 7월 이 사실이 공표되었는데, 해커가 2022년 5~10월 사이 AT&T의 제3자 클라우드 플랫폼에 저장된 통화·문자 송수신 기록 파일에 접근하여 이를 모두 다운로드한 것으로 드러났습니다.

이 데이터에는 전화번호 간 통화/문자 이력이 담겨 있었고, 일부는 기지국 ID (위치 정보)도 포함되었습니다. 다행히 통화 내용이나 문자 내용 자체, 그리고 이름·주민번호 등의 PII는 포함되지 않았다고 AT&T는 밝혔습니다. 그러나 통화상대 목록이 노출되었다는 점에서 프라이버시 침해 우려가 컸습니다.

AT&T의 이 사례는 통신 메타데이터 유출로서, SKT나 T-Mobile 사례와는 유출 데이터 유형이 다릅니다. SKT/TMO가 가입자 식별정보 중심이었다면, AT&T는 이용내역 정보였습니다. 공격 기법도 다릅니다. AT&T의 경우 외주 클라우드 저장소 설정 미비 또는 파트너 시스템 취약점이 원인으로 추정됩니다. (보도에 따르면 AT&T가 7개월 치 통화기록을 외부 클라우드에 두었고, 해커가 이를 통째로 복사했다고 합니다.)

한편 AT&T는 2015년경 내부직원들이 돈을 받고 고객 정보를 유출한 사건도 있었고, 2023년 3월에는 또 다른 공급망 해킹으로 900만 명의 AT&T 고객 개인정보가 유출되기도 했습니다. (이때는 마케팅 업체 해킹으로 이름, 전화번호 등 노출).

AT&T와 SKT 사례의 공통점은 MVNO(알뜰폰) 고객 정보까지 영향을 미쳤다는 점입니다. AT&T 2022 사고 때는 AT&T 망을 쓰는 MVNO들의 통화기록도 함께 유출되었습니다. SKT도 자회사인 SK텔링크 및 SK망 임대사업자의 가입자 Ki가 같이 유출되었습니다. 이는 한 통신사의 침해가 그 망을 공유하는 가상사업자들에게도 파급될 수 있음을 보여줍니다.