장기간 잠복한 악성코드, 치명적 보안 허점 노출
SK텔레콤 서버는 2021년 8월부터 악성코드에 감염되어 있었다. BPFdoor 등 33종의 악성코드가 확인됐고, 총 28대의 서버에서 9.82GB에 달하는 데이터가 유출됐다. 민관합동조사단은 이번 사건을 “단순 해킹을 넘어 체계적·장기적으로 진행된 공격”으로 분석했다.
특히 유심 인증정보인 Ki 값이 암호화되지 않은 상태로 저장되어 있었던 사실이 드러나면서, SK텔레콤의 보안 체계가 심각한 허점을 노출했다는 지적이 나왔다. 가입자 IMSI 정보 약 2,696만 건이 포함된 이번 유출은 가입자 개인정보의 대규모 노출로 이어졌다.
위약금 면제 가능성 및 SK텔레콤 과실 확인
과학기술정보통신부는 이번 해킹 사고에 대해 SK텔레콤의 관리 소홀과 과실이 명백하다고 발표했다. 이에 따라 SKT를 떠나 KT, LG유플러스, 알뜰폰 등 타 통신사로 이동한 고객의 위약금이 면제될 가능성이 커졌다.
조사 결과 SK텔레콤은 HSS 관리자 계정 정보를 평문으로 저장했고, 서버 다수에서 암호화되지 않은 로그인 ID·패스워드가 발견됐다. 연 1회 점검 원칙을 지켰으나 웹쉘 등 일부 항목은 점검에서 누락됐고, 악성코드가 협력사 SW를 통해 유입되는 등 관리 부실이 드러났다. 사고 인지 후 24시간 초과 신고와 포렌식 불가 상태의 서버 제출 등 법적 의무 위반 사실도 확인됐다.
개인정보 유출 범위와 심각성
조사단은 유출된 데이터에 가입자 전화번호, 이름, 생년월일, 이메일, 통화내역(CDR)까지 포함되어 있다고 발표했다. IMSI, IMEI와 같은 가입자 식별정보까지 유출되면서 단순한 정보 노출을 넘어 통신사 계정 복제, 부정사용 등의 2차 피해로 이어질 가능성이 제기된다.
유출된 기간은 2022년 6월부터 2024년 12월까지로, 주요 로그가 남아있지 않은 2023년 1월~2024년 2월 구간에 대한 추가 피해 여부는 확인이 어려운 상태다. 전문가들은 이 구간에서 피해 규모가 더 클 가능성도 배제할 수 없다고 우려한다.
정부 대응 및 가입자 조치 방법
정부는 전 이동통신사에 대한 전수 보안 점검을 진행한다고 밝혔다. 과학기술정보통신부는 SK텔레콤에 계정관리 강화, 주요정보 암호화, 타사 SW 점검 체계 개선, 정기 점검 예산 확대 등을 요구했다. 또한 AI 시대의 보안 위협에 대비해 포렌식 대응 방안을 강화할 방침이다.
SK텔레콤 고객 중 이번 사고로 인해 타사로 이동한 가입자는 SKT 고객센터나 이동통신사 대리점을 통해 위약금 면제 여부를 문의할 수 있다. 위약금 면제는 조사 결과를 반영해 자동 적용되거나, 필요 시 증빙 자료를 통해 신청 가능하다.
신뢰 회복 위한 근본적 대책 필요
이번 SK텔레콤 해킹 사고는 단순한 보안 사고가 아니라, 국내 통신망의 구조적 취약성을 드러낸 사건으로 평가된다. 수천만 명의 가입자 정보가 유출된 만큼 SK텔레콤은 고객 신뢰 회복을 위해 위약금 면제, 공식 사과, 철저한 재발 방지 대책을 조속히 시행해야 한다는 목소리가 커지고 있다.
정부는 이번 사태를 계기로 통신사 보안 체계를 재점검하고, AI 기반의 사이버 공격에 대응할 수 있는 보안 체계를 구축하겠다고 밝혔다. 통신사 역시 가입자 개인정보 보호를 위한 실질적 조치를 마련해야 할 시점이다.
자주 묻는 질문(FAQ)
Q1. SKT 고객인데 유심 유출 피해를 입었습니다. 위약금 면제 대상인가요?
A. 과학기술정보통신부는 이번 해킹 사고를 SK텔레콤의 귀책 사유로 판단했습니다. 통신사 변경 사유가 이번 해킹과 관련 있을 경우, 위약금 면제 가능성이 높습니다. SKT 고객센터나 변경한 통신사 대리점에서 위약금 면제 적용 여부를 문의하면 안내를 받을 수 있습니다.
Q2. 어떤 정보가 유출됐나요?
A. 이번 사건으로 가입자 전화번호, 이름, 생년월일, 이메일, 통화내역(CDR) 등 개인정보는 물론, 유심 인증정보(Ki)와 가입자 식별번호(IMSI), 단말기 식별번호(IMEI)까지 총 25종 이상의 민감 정보가 유출됐습니다. 특히 일부 서버에서 암호화되지 않은 상태로 저장된 정보들이 포함됐습니다.
Q3. SK텔레콤은 해킹 사실을 은폐했나요?
A. SK텔레콤은 사고 인지 후 24시간 내 신고 의무를 어겼습니다. 또한 일부 서버는 포렌식 불가 상태로 조사단에 제출해 은폐 의혹이 제기됐습니다. 과학기술정보통신부는 위반 사실을 확인하고 과태료 부과 및 수사의뢰를 검토 중이라고 밝혔습니다.
Q4. 피해를 입은 고객은 어떤 조치를 취해야 하나요?
A. 유심 재발급을 통해 2차 피해를 예방하는 것이 좋습니다. 또한 통신사 고객센터를 통해 개인정보 유출 여부와 위약금 면제 대상 여부를 확인할 수 있습니다. 필요할 경우 통신사 약관과 조사단 발표 내용을 근거로 피해 사실을 증명해 보상 절차를 진행할 수 있습니다.
Q5. 정부의 향후 대응 계획은 무엇인가요?
A. 정부는 전체 이동통신사에 대한 전수 보안 점검을 예고했습니다. 계정관리 강화, 주요정보 암호화, 정기 점검 확대 등을 통신사에 요구했으며, AI 기반 사이버 위협에 대응할 수 있는 체계 마련을 추진할 계획입니다.
2025.07.03 - [분류 전체보기] - 계양구청장 (+“국민이라면 참아야” 러브버그 발언 논란)
계양구청장 (+“국민이라면 참아야” 러브버그 발언 논란)
러브버그 창궐로 불편을 호소하는 주민들이 늘고 있는 가운데, 윤환 인천 계양구청장이 “국민이라면 참을 줄 알아야 한다”는 취지의 발언을 해 논란이다. 누리꾼들은 “혐오감을 참으라는 것
mucher81.com
2025.07.03 - [분류 전체보기] - 이재명 대통령, 불법 공매도에 최고 과징금 경고
이재명 대통령, 불법 공매도에 최고 과징금 경고
이재명 대통령은 3일 수석·보좌관회의에서 자본시장 불공정 거래에 대한 엄정한 대응을 강조하며, 불법 공매도 적발 시 최고 수준의 과징금을 부과하라고 지시했다. 부동산을 대체할 투자처로
mucher81.com
2025.07.03 - [분류 전체보기] - 시흥 해양생태과학관 (+예약부터 관람팁)
시흥 해양생태과학관 (+예약부터 관람팁)
경기도 시흥 거북섬에 새롭게 문을 연 해양생태과학관은 다양한 해양 생태를 관찰하고 체험할 수 있는 공간으로, 어린이와 함께 방문하기에 적합하다. 방문 전 예약부터 관람 팁까지 알차게 정
mucher81.com