최신 보안 사고 사례에 대한 분석 리포트

SK텔레콤 유심 정보 유출 사건

사건 개요

2025년 4월 발생한 SK텔레콤 침해사고는 단순한 개인정보 유출 사건으로 보기 어렵다.
이 사건이 크게 문제된 이유는 이름이나 연락처 같은 일반 개인정보만이 아니라,
통신망 인증에 직접적으로 사용되는 유심 관련 정보가 외부로 유출되었다는 점에 있다.
정부 조사 결과, 유출된 데이터는 총 25개 항목, 약 9.82GB, 약 2,696만 건 규모의 IMSI 기록으로 확인되었다.
SK텔레콤은 2025년 4월 18일 밤 비정상적인 외부 트래픽을 감지했고,
이후 민관합동조사단이 전수조사를 진행했다.

이 사건이 위험했던 이유는 단순한 정보 노출을 넘어서,
공격자가 해당 정보를 바탕으로 SIM 복제나 인증 악용을 시도할 수 있다는 우려 때문이었다.
정부 발표에서도 유심 정보 유출은 제3자가 가입자의 번호를 이용해
통화나 문자 수·발신을 시도할 수 있는 위험성과 연결된다고 설명했다.
즉, 이 사고는 “개인정보 유출”이 아니라 통신 서비스의 신뢰성과 안전성 자체를 흔든 사고에 가깝다.

사고가 커진 원인

조사 결과를 보면, 공격이 성공한 핵심 원인은 단순한 제로데이 취약점보다는 기본적인 운영 보안 실패였다.
과기정통부는 이 사건의 주요 원인으로 부실한 계정정보 관리, 2022년 이전 사고 대응 미흡,
중요 정보 암호화 미흡을 지목했다. 특히 인터넷에 노출된 관리망 서버 중 하나에는
다른 관리 서버의 ID와 비밀번호가 암호화되지 않은 상태로 저장되어 있었고,
공격자는 이 정보를 이용해 다른 시스템으로 이동한 것으로 조사됐다.

여기서 중요한 점은, 최초 침투 자체보다도 최초 침투 이후 내부 이동이 너무 쉬웠다는 것이다.
공격자는 한 서버를 발판으로 삼아 다른 서버들로 접근했고,
결국 유심 관련 데이터가 저장·처리되는 시스템까지 영향을 미쳤다.
보안에서 자주 말하는 수평 이동이 실제 대형 사고로 이어진 전형적인 사례라고 볼 수 있다.
다시 말해, “어떻게 처음 들어왔는가”도 중요하지만,
그 이후에 왜 그렇게 깊숙이 들어갈 수 있었는가가 이 사건의 더 큰 문제였다.

대응 방식

사고 이후 정부와 SK텔레콤은 감염 서버를 조사하고 악성코드를 제거했으며,
비정상 인증을 차단하기 위한 대응을 진행했다.
정부는 SK텔레콤이 운영하는 전체 42,605대 서버를 대상으로 전수 점검을 진행했고,
그 결과 28대 감염 서버와 33종 악성코드를 확인했다.
SK텔레콤 측도 유심보호서비스와 유심 교체 조치를 시행했다.

다만 대응이 있었다고 해서 문제가 모두 해결된 것은 아니다.
정부 발표에 따르면, SK텔레콤은 사고를 인지한 뒤 법정 24시간 신고 기한을 넘겨 신고했고,
이 부분 역시 문제로 지적되었다. 또 일부 서버에는 IMEI나 개인정보,
통화상세기록(CDR)이 평문으로 저장되어 있었던 사실도 확인되었다.
비록 조사 구간 내 로그상 외부 유출 정황이 확인되지 않은 정보도 있었지만,
로그가 없는 기간에 대해서는 완전히 배제할 수 없다고 발표되었다.
이런 점은 대응 이전의 관리 수준이 얼마나 미흡했는지를 보여준다.

한계와 시사점

이 사건에서 가장 크게 드러난 문제는, 통신사처럼 국가 기반 서비스에 가까운 사업자에서도
가장 기본적인 자격증명 보호와 중요 정보 보호가 충분히 이뤄지지 않았다는 점이다.
계정정보를 평문에 가깝게 저장하고, 중요 서버로 이동 가능한 인증 정보가
관리망 내에 남아 있었다는 점은 매우 치명적이다.
보안 솔루션이 부족해서라기보다, 핵심 자산과 계정이 어떤 방식으로 연결되어 있는지에
대한 기본 설계와 통제 자체가 약했다고 보는 편이 맞다.

결국 SK텔레콤 사건은 “악성코드 감염”이 본질이 아니라,
핵심 정보 보호 실패와 계정 관리 실패가 결합되면 통신 서비스 전체의 신뢰가 흔들릴 수 있다는 점을
보여준 사례다. 블로그에서는 이 사건을 단순 유출이 아니라 “인증 정보 유출이
왜 일반 개인정보 유출보다 더 위험한가”라는 관점으로 풀어 쓰면 훨씬 깊이 있어 보인다.