목차
SKT 해킹 2차 조사 개요 및 피해 규모

SKT 해킹 사태는 2025년 4월 처음 발견되었지만, 2차 조사 결과에 따르면 실제 해킹은 약 3년 전인 2022년 6월 15일부터 시작된 것으로 확인되었습니다.
민관합동조사단은 2025년 5월 19일 정부서울청사에서 이러한 내용을 포함한 2차 조사 결과를 발표했습니다. 1차 조사에서는 5대의 서버 감염이 확인되었으나, 2차 조사에서는 추가로 18대의 서버가 악성코드에 감염된 것으로 밝혀져 총 23대의 서버가 해킹 피해를 입은 것으로 확인되었습니다. 또한 1차 조사 결과에서 IMEI(단말기 식별 번호)가 유출되지 않았다고 발표했으나, 악성코드에 감영된 서버를 포렌식하는 과정에서 연동 서버에 일정 기간 임시로 저장되는 파일에 IMEI가 포함되어 있었음이 밝혀지면서 IMEI의 유출 여부도 확실하지 않은 상황입니다.
피해 규모는 상당히 심각한 수준으로, 유출된 유심(USIM) 정보는 가입자 식별번호(IMSI) 기준으로 2695만7749건에 달합니다. 이는 SKT와 알뜰폰을 포함한 전체 가입자 수(약 2500만 명)를 초과하는 수치로, 사실상 모든 가입자의 정보가 유출된 것으로 볼 수 있습니다. 유출된 데이터의 양은 총 9.82GB로 확인되었습니다. 이번 사태는 2013년 카드 3사(KB국민카드·롯데카드·농협) 고객 정보 1억326만건 유출, 2011년 싸이월드 사용자 정보 3500만건 유출에 이어 국내에서 세 번째로 큰 대규모 개인정보 유출 사건으로 기록되고 있습니다.
감염된 서버와 악성코드 현황
구분 | 1차 조사 결과 | 2차 조사 결과 | 총계 |
---|---|---|---|
감염된 서버 | 5대 | 18대 추가 | 23대 |
발견된 악성코드 | 4종 | 21종 추가 | 25종 |
정밀 분석 완료 서버 | 5대 | 10대 추가 | 15대 |
분석 진행 중인 서버 | - | 8대 | 8대 |
2차 조사에서는 1차 조사에서 발견된 4종의 악성코드 외에도 21종의 악성코드가 추가로 발견되어 총 25종의 악성코드가 확인되었습니다. 이 중에는 BPF도어 계열 악성코드 12종과 웹셸 1종이 포함되어 있습니다. 이러한 악성코드는 해커가 시스템에 지속적으로 접근할 수 있는 '백도어'를 만들어 장기간에 걸쳐 정보를 탈취하는 데 사용된 것으로 보입니다.
현재까지 23대의 감염된 서버 중 15대는 포렌식 등 정밀 분석이 완료되었으나, 나머지 8대에 대해서는 분석이 진행 중입니다. 특히 감염된 서버 중 2대가 개인정보와 IMEI 정보가 일정 기간 임시로 관리되는 서버로 확인되었다는 것입니다. 이는 1차 조사에서는 발견되지 않았던 부분으로, 개인정보 유출 가능성이 더욱 높아졌음을 의미합니다.
유출된 정보의 종류와 위험성
2차 조사 결과, 유출된 정보의 종류와 범위가 1차 조사 때보다 더욱 확대된 것으로 확인되었습니다. 1차 조사에서는 가입자 전화번호와 가입자 식별번호(IMSI) 등 유심 복제에 악용될 수 있는 정보 4종과 유심 정보 처리 등에 필요한 SKT 관리용 정보 21종의 유출이 확인되었습니다. 그러나 2차 조사에서는 더 심각한 정보 유출이 발견되었습니다.
- 유심(USIM) 관련 정보: 가입자 식별번호(IMSI), 인증키 등 유심 정보 4종을 포함한 25종의 정보
- 개인정보: 이름, 생년월일, 전화번호, 이메일 등 휴대전화 가입 시 제공하는 정보 (개인정보보호위원회 조사 중)
- 단말기 고유식별번호(IMEI): 약 29만1831건의 IMEI 정보가 유출 가능성 있음
- SKT 관리용 정보: 유심 정보 처리 등에 필요한 21종의 관리 정보
특히 우려되는 부분은 단말기 고유식별번호(IMEI)의 유출 가능성입니다. 1차 조사에서는 IMEI가 유출되지 않은 것으로 발표되었으나, 2차 조사에서는 통합고객인증 서버와 연동되는 기기들에서 약 29만 건의 IMEI 정보가 포함된 것으로 확인되었습니다. 조사단은 방화벽 로그를 확인할 수 있는 기간 내에는 IMEI 유출이 없었다고 밝혔지만, 로그가 없는 기간에는 유출 가능성을 배제할 수 없다고 언급했습니다.
IMEI는 단말기 고유의 식별번호로, 사람으로 비유하자면 '주민등록번호'와 같은 역할을 합니다. 해당 정보가 유출되었을 경우 '유심 복제'에 필요한 정보가 해킹된 것으로 가장 중요한 정보가 유출되었을 수 있음을 의미합니다.
해킹 공격의 시기와 기간
2차 조사에서 가장 충격적인 발견 중 하나는 해킹 공격의 시작 시점과 지속 기간입니다. 민관합동조사단은 해커가 악성코드를 설치한 시점을 2022년 6월 15일로 특정했습니다. 이는 해킹이 약 3년에 걸쳐 장기간 진행되었음을 의미합니다. 해커들은 이 기간 동안 시스템에 '잠복'하면서 정보를 탈취했을 가능성이 높습니다.
이렇게 장기간에 걸친 해킹 공격은 단순한 개인정보 탈취가 아닌 더 복잡한 목적을 가진 조직적인 공격일 가능성을 시사합니다. 특히 전문가들은 이러한 패턴이 국가 지원 해커 그룹의 특징과 유사하다고 지적하고 있습니다. 해커들은 BPF 도어 계열의 악성코드를 사용하여 시스템에 지속적으로 접근할 수 있는 백도어를 만들었으며, 이를 통해 오랜 기간 동안 정보를 수집한 것으로 보입니다.
조사단은 지난해 12월부터 올해 4월까지의 로그 기록을 확인한 결과, 이 기간 동안에는 단말기 식별번호(IMEI)의 유출이 확인되지 않았다고 밝혔습니다. 그러나 문제는 그 이전 기간, 특히 2022년 6월부터 2024년 11월까지의 로그 기록이 존재하지 않아 이 기간 동안 어떤 정보가 유출되었는지 정확히 파악하기 어렵다는 점입니다. 이는 해커들이 자신들의 활동 흔적을 지우는 등의 고도화된 기술을 사용했을 가능성을 시사합니다.
보안 및 국가 안보 측면의 시사점
우려 사항 | 잠재적 위험 | 안보 측면 시사점 |
---|---|---|
장기간 해킹 지속 | 3년간 지속된 정보 유출로 인한 대규모 피해 | 국가 지원 해커 그룹의 개입 가능성 |
통신 인프라 취약성 | 국가 핵심 인프라 보안 위협 | 사이버전 가능성 증가 |
고도화된 악성코드 | 기존 보안 시스템 우회 가능성 | 국가 차원의 사이버 보안 강화 필요 |
개인정보 대량 유출 | 2차 범죄 및 신원 도용 위험 | 국민 개인정보 보호를 위한 제도 개선 필요 |
이번 SKT 해킹 사태는 단순한 기업의 보안 사고를 넘어 국가 안보 차원의 문제로 인식되고 있습니다. 특히 3년이라는 장기간에 걸쳐 해킹이 진행되었다는 점과 고도화된 악성코드가 사용되었다는 점은 이번 공격이 단순한 개인 해커나 범죄 조직이 아닌 국가 지원 해커 그룹에 의해 이루어졌을 가능성을 시사합니다.
전문가들은 이번 사태는 국가 차원의 대응이 필요하다고 강조하고 있습니다. 특히 통신사와 같은 국가 핵심 인프라에 대한 해킹은 국가 안보에 직접적인 위협이 될 수 있습니다. 해커들이 유심 정보와 단말기 식별번호를 확보할 경우, 이를 통해 복제폰을 제작하여 특정 인물의 통신을 감청하거나 개인정보를 탈취하는 등의 2차 범죄로 이어질 수 있습니다.
정부 및 기업의 대응 방안

민관합동조사단은 "앞으로 침해사고 조사 과정에서 국민들에게 피해가 발생할 만한 정황이 발견될 경우 이를 투명하게 공개할 것"이라며 "사업자의 신속 대응과 정부 차원의 대응책도 강구할 계획"이라고 밝혔습니다. 현재 정부는 다음과 같은 대응 방안을 추진하고 있습니다.
- 타 통신사와 주요 플랫폼 기업을 대상으로 유사 사고 발생 가능성에 대비한 보안 상황 점검
- 중앙행정기관, 지자체, 공공기관은 국정원 주관의 정부 기관 보안 점검 진행
- 개인정보보호위원회의 개인정보 유출 관련 조사 진행
- 통신사와 플랫폼사 보안점검 TF를 운영해 다른 통신사와 플랫폼 4개 사에 대해 매일 또는 주단위 점검
- SKT의 감염된 서버에 대한 정밀 분석 및 보안 조치 지속
민관합동조사단은 6월까지 SKT 서버 시스템 전체를 강도 높게 점검한다는 목표하에, 1단계 : 초기 발견된 BPFDoor 감염 여부 확인을 위한 리눅스 서버 집중 점검 → 2단계 : BPFDoor 및 타 악성코드 감염 여부 확인을 위해 리눅스 포함 모든 서버로 점검 대상을 확대하는 방식으로 조사를 진행하고 있습니다.
1차 발표 이후 공격을 받은 정황이 있는 서버는 추가로 18대가 식별되었습니다(현재까지 총 23대). 총 23대 중 현재까지 15대는 정밀 분석(디지털 자료 복원<포렌식>, 접속<로그> 분석)을 완료하였으며, 8대는 5월말까지 분석을 완료할 예정입니다.
SK텔레콤 측은 현재 감염된 서버에 대한 조치를 진행 중이며, 고객 피해 최소화를 위한 대책을 마련하고 있다고 밝혔습니다. 다행히 현재까지 민간과 공공 분야에서 신고된 피해 사례는 없는 것으로 알려졌습니다. 그러나 전문가들은 유출된 정보가 당장 악용되지 않더라도 향후 다양한 형태의 2차 피해로 이어질 가능성이 있다고 경고하고 있어, 사용자들의 지속적인 주의가 필요한 상황입니다.
이번 SKT 해킹 사태는 단순한 기업의 보안 사고를 넘어 국가 안보와 직결된 심각한 문제로 발전하고 있습니다. 3년이라는 장기간에 걸친 해킹과 약 2700만 건에 달하는 유심 정보 유출은 국내 사이버 보안 역사상 최대 규모의 사건 중 하나로 기록될 것입니다. 특히 이번 사태는 우리나라의 통신 핵심 인프라가 얼마나 취약할 수 있는지를 보여주는 중요한 사례가 되었습니다.
'IT, 테크 정보 > 소식통' 카테고리의 다른 글
일론머스크의 스타링크와 원웹의 위성통신 서비스, 곧 국내 도입 예정? (7) | 2025.05.26 |
---|---|
구글 I/O 컨퍼런스 2025 정리. AI기술과 투자의 확대 (1) | 2025.05.21 |
이번주 IT, 테크 관련 소식 - 네이버와 국토지리정보원 협력, 애플 공장 이전, 테무 개인정보 무단 이전 등등... (3) | 2025.05.19 |
iOS 18.4 미만 긴급 업데이트 요망. 애플 에어본 취약점 (1) | 2025.05.15 |
구글의 고정밀 지도 반출 요구, 이번에는 허용하나? (1) | 2025.05.12 |