SK텔레콤 유심 해킹 사건 전체 타임라인
2025년 4월 18일 발생한 SK텔레콤 유심 해킹 사건의 시간순 상세 내역입니다. 현재까지의 진행 상황과 대응 조치를 확인하세요.
사건 개요
SK텔레콤(SKT) 유심 해킹 사건은 2025년 4월 중순 발생한 대규모 통신망 침해 사고로, 4월 18일에 처음 이상 징후가 감지되고 이후 고객 통신 인증정보 유출 사실이 확인되었습니다. 정부와 SKT는 즉각 대응에 나서 민관합동조사단 구성, 전국민 대상 유심 무상 교체, USIM 보호서비스 자동 적용 등 조치를 시행했으며, 5월 11일에는 유심 재설정(USIM 포맷) 설루션을 도입하여 고객 편의성을 높였습니다. 최근 5월 26일에는 민관합동조사단이 KT와 LG유플러스에 대한 직접 점검에 착수하여 국가 통신망 전체에 대한 보안 검증이 이루어지고 있습니다. 현재(2025.05.26 기준) 약 143만 명이 유심 교체를 완료했으며, 추가 722만 명이 예약을 마친 상태입니다.
KT, LG유플러스 직접 점검 착수
SKT 해킹 사건을 조사하고 있는 민관합동조사단이 KT와 LG유플러스의 해킹 피해 여부에 대해서도 직접 점검에 착수. BPF도어 악성코드를 사용한 SKT 해킹 집단이 국내 다른 통신사에도 사이버 공격을 시도했을 것이라는 추측에 따른 조치다. 조사단은 SKT의 서버 점검에 사용한 악성코드 변종 202종에 대한 백신을 KT와 LG유플러스 서버에 적용해 감염 여부를 조사하고 있다.
민관합동조사단 2차 조사 결과 발표
4차에 걸친 BPFDoor 계열 악성코드 감염여부 집중 점검 결과, 현재까지 감염서버 총 23대, 악성코드 총 25종 확인 및 조치. 개인정보가 일정기간 임시로 관리되는 서버(2대)의 감염사실 확인. 단말기 고유식별번호(IMEI) 291,831건이 포함된 파일 발견.
SK텔레콤, 유심 재설정 설루션 도입
SK텔레콤이 실물 유심 교체 없이 유심 일부 정보를 변경할 수 있는 '유심 재설정(USIM 포맷)' 설루션을 도입. 이 방식은 유심에 존재하는 '사용자 식별 정보(IMSI)'를 새 정보로 변경하여, 유출된 유심 정보로 복제를 시도해도 시스템 접속이 차단되도록 함. 기존 유심 교체와 달리 티머니, 금융인증서, 연락처 등 사용자 저장 정보가 유지되고 금융기관 재인증이 불필요하여 고객 편의성을 높임. 2025년 5월 11일 기준 유심 교체 완료 고객은 143만 명, 예약 완료 고객은 722만 명으로 집계.
국회 종합 청문회 개최
국회 과학기술정보방송통신위원회에서 SKT 유심 해킹 사태 종합 청문회가 열림. 위약금 면제, 2차 피해 방지, 법적 책임 강화 방안 등을 논의 중. 통신망 보안 강화를 위한 혁신적인 방안에 대한 논의가 이어짐.
금융권 FDS 강화 및 보안점검 확대
금융당국이 전 금융권에 FDS(이상금융거래 탐지) 강화와 오픈뱅킹 보안점검을 권고. 유통·물류업계 등 타 산업에서도 SKT 해킹 여파로 자체 보안 시스템 강화에 나섰다고 보도됨.
악성코드 분석 및 플랫폼 기업 대상 점검
KISA 주도의 민관합동조사단은 침입 시점, 추가 악성코드 유입 경로, VPN 장비 취약점 여부 등에 대한 조사를 진행 중이라고 밝힘. 과기정통부는 네이버, 카카오, 쿠팡 등 주요 플랫폼 기업과 통신3사 대상 보안현황 점검 회의에서 "플랫폼 업계도 SKT 해킹에 사용된 악성코드에 취약한지 면밀히 검토하라"고 당부.
SKT 이용자 대규모 이탈
SK텔레콤이 앞서 결정한 대로 신규 가입 및 번호이동 접수 중단을 이행함에 따라, 번호이동 수요가 경쟁사로 폭증함. 이날 하루에만 SKT에서 KT로 7,087명, LG유플러스로 6,658명 등 총 13,745명이 이동통신사를 갈아탐. 이는 브랜드 신뢰 타격을 보여주는 사례.
SKT 비상경영체제 격상 및 국회 법안 발의
SK텔레콤이 비상 경영체제를 최고 단계로 격상 (24시간 상황실 가동 등). 국회에서는 통신사 귀책으로 정보유출 시 번호이동 위약금 면제를 의무화하는 법안을 발의.
BPFDoor 변종 추가 발견
KISA 민관합동조사단이 SKT 내부 서버에서 기존에 확인된 악성코드 이외에 BPFDoor 변종 8종을 추가 발견하여 정밀 분석 중이라고 밝힘. KISA는 같은 날 관련 위협정보 2차 공유 공지를 통해 이를 공개함.
전 이용자 USIM 보호서비스 자동 가입
SK텔레콤이 긴급 기자회견을 통해 "전 이용자를 USIM 보호서비스에 자동 가입시켰다"고 발표. 기존에는 고객이 개별 신청해야 했던 것을, 전원 일괄 적용하여 IMSI-IMEI 불일치 접속 차단을 기본 활성화 조치함.
스미싱 주의보 발령
방송통신위원회는 스미싱 등 문자사기 주의보를 발령하고, 5월 6~8일 기간 통신사들의 본인확인 서비스 보안 특별점검을 예고함. 개인정보위는 "SK텔레콤은 가입자 개개인에게 유출 사실을 즉시 통지하라"고 요구.
신규 가입 접수 중단 조치
과기정통부는 "SKT 유심 재고 문제가 해소될 때까지 SKT의 신규 가입 접수를 중단하도록 한다"는 행정지도 조치를 내림. 실제로 SKT는 5월 5일까지 약 일주일간 번호이동 및 신규 개통 업무를 중지하고 유심 교체 업무에 집중함.
개인정보보호법 개정안 발의
국회에서 이번 사태를 계기로 개인정보보호법 개정안(개인정보 유출 기업·기관의 사후 책임 강화)을 발의. 여당 주최로 'SKT 소비자 권익 및 개인정보보호 긴급 간담회'가 열려, 필요시 국가정보원의 침해 대응 전문인력을 민간에 지원하는 방안을 검토함.
CEO 국회 청문회 출석
SKT 유영상 CEO가 국회 과학기술정보방송통신위원회에 출석하여 사고 경위와 대응에 대해 증언. 경찰은 'SKT 유심정보 해킹사건'에 대해 사이버수사대 내 전담 수사팀을 공식 편성하여 수사 본격화.
이반티 VPN 취약점 공격 가능성 제기
SKT 유심 해킹이 '이반티 VPN 취약점'을 노린 중국 해커그룹 소행 가능성이 제기됨. 보안 전문가들은 이번 공격이 장기간에 걸쳐 치밀하게 계획된 APT(지능형 지속 위협) 공격일 가능성을 제시함.
민관합동조사단 1차 조사 결과 발표
과기정통부가 민관합동조사단의 1차 조사 결과를 발표. "가입자 전화번호, IMSI 등 유심 복제에 쓰일 수 있는 정보 4종과, 유심 정보 처리에 필요한 SKT 관리용 정보 21종이 유출되었으며, 단말기 고유식별번호(IMEI)는 유출되지 않았다"고 공식 확인.
정부 기관 SKT 유심 전면 교체
국가정보원이 전 정부부처 및 산하기관에 "업무용 단말기의 SKT USIM을 전면 교체하라"는 공문을 발송. 금융권에서는 추가 보안대책으로 얼굴인증 등 강력인증 절차를 확대하는 등 후속조치가 이어짐.
전국 유심 무상 교체 시작
SK텔레콤이 예고대로 전국 2,600개 대리점에서 전 고객 대상 USIM 무상 교체 작업을 시작. 일시적인 유심 재고 부족 현상이 발생하자, SKT는 "차량용 단말기나 키즈폰 등 일부는 기존 USIM을 데이터 초기화하여 재사용하는 방식으로 병행"한다고 발표.
SKT 주가 급락
주식시장에서 SKT의 주가가 전 거래일 대비 8.5% 급락하여 시가총액 약 8,000억 원 증발 및 KT에 역전되는 사태가 벌어짐. 투자자들은 이번 해킹에 따른 비용 부담과 신뢰도 하락을 우려한 것으로 분석됨.
총리 지시 및 SKT의 추가 대응
대통령 권한대행인 한덕수 국무총리가 이번 사고에 대해 "SKT 대응 조치의 적절성을 철저히 점검하고 미흡한 부분을 보완하라"는 긴급 지시를 관계 부처에 내림. SKT는 이날 "USIM 보호서비스 가입 권고 및 피해 발생 시 100% 배상" 입장을 밝혀 고객 불안을 달랬음.
KISA, 악성코드 정보 공유
KISA가 보안 공지를 통해 '최근 해킹 공격에 악용된 악성코드, IP 등 위협 정보 공유 및 주의 안내'를 발표하여 SKT 해킹에서 발견된 악성파일의 정보를 공개. 이 공지에서 BPFDoor 관련 IoC 지표 등이 공유되었으며, 다른 기관들도 자체 보안 점검을 하도록 권고함.
CEO 대국민 사과 및 무상 교체 발표
SK텔레콤 유영상 대표이사가 대국민 사과문을 발표하는 고객 정보 보호 조치 강화 설명회를 개최. 이 자리에서 "전국 모든 SKT 및 MVNO(SKT망 알뜰폰) 가입자 총 2,500만 명을 대상으로 오는 4월 28일부터 USIM 무상 교체를 실시한다"고 공식 발표.
금융권 보안 점검 강화
금융감독원에서 국내 금융회사들에게 "이동통신사 유심 해킹사고 관련 유의사항" 공문을 배포. 은행 등에서 휴대전화 기반 본인인증 관련 보안 점검 강화를 지시함.
경찰 수사 착수 및 정부기관 조사
서울지방경찰청 사이버수사대가 수사에 착수하여 전담수사팀을 편성. 과학기술정보통신부, KISA, 개인정보위 등 관계기관도 합동으로 현장 조사를 시작. 언론을 통해 약 2,300만 명 가입자 정보가 유출되었을 수 있다는 내용이 확산되어 사회적 파장이 커짐.
개인정보위 보고 및 대외 공개
SK텔레콤이 개인정보보호위원회에 사고 내용을 보고하고, 수사기관(경찰)에 정식 수사를 요청. 동시에 공식 보도자료를 통해 해킹 사고 사실을 대외 공개하여 언론에 처음 알려짐.
KISA 공식 신고
SK텔레콤이 한국인터넷진흥원(KISA)에 이번 침해 사고를 공식 신고. 신고서에는 "불상의 해커가 당사 내부 장비에 악성코드를 설치해 시스템 파일을 유출한 정황"이라고 원인이 명시됨.
HSS 서버 데이터 유출 확인
서울 성수동 SKT IDC에 위치한 음성 가입자 인증 시스템(HSS) 장비 5대 중 3대에서 대규모 데이터 유출 정황을 확인. 해커가 HSS 등 핵심 통신장비에 악성코드를 심어 약 9.7GB 분량의 가입자 USIM 관련 파일이 외부로 전송된 것을 확인.
침해 서버 격리 조치
침해 흔적이 발견된 과금분석 서버를 격리 조치하고, 초기 포렌식을 통해 침입 경로와 유출된 데이터 종류 분석에 착수.
악성코드 존재 확인
과금 분석 서버(WCDR) 상에서 악성코드 존재 및 파일 삭제 흔적을 확인하여 해킹 공격이 있었음을 내부적으로 공식 인지. 이 시점에 이미 공격자가 일부 데이터를 외부로 빼냈을 가능성이 제기됨.
비정상 트래픽 최초 발견
SK텔레콤 네트워크 인프라 센터에서 장비 간 비정상 데이터 이동(대량 트래픽 유출)을 처음 포착. 내부 보안관제센터(SOC)가 즉시 조사를 시작하고, 위험 징후를 모니터링.
본 타임라인은 언론 보도 및 공식 발표를 기반으로 작성되었으며, 추가 정보가 확인됨에 따라 지속적으로 업데이트됩니다.
마지막 업데이트: 2025년 5월 8일