SKT 유심 해킹 사태 총정리: 피해 규모부터 대응 현황까지

2025년 4월, SK텔레콤이 유심(USIM) 정보를 노린 대규모 해킹 공격을 받으며, 약 2,300만 명의 가입자 정보가 유출되는 초유의 사태가 발생했습니다. 이번 사건은 단순한 개인정보 유출을 넘어, 통신 인프라의 보안 취약성과 기업의 대응 능력에 대한 심각한 경고로 받아들여지고 있습니다.

 

사건 개요: 유심 정보 유출의 전말

SK텔레콤은 4월 18일, 내부 시스템에서 이상 징후를 감지한 후, 19일 해킹 사실을 공식 확인했습니다. 해커는 'BPF도어(BPFDoor)'라는 고도화된 백도어 악성코드를 통해 핵심 서버인 HSS(Home Subscriber Server)를 침투하여, 국제이동가입자식별번호(IMSI), 전화번호(MSISDN), 인증 키 등 유심 관련 정보를 대량으로 탈취했습니다 .

이러한 정보는 복제폰 제작, 신원 도용, 금융사기 등 2차 범죄에 악용될 수 있어, 피해 확산 우려가 커지고 있습니다.

 

SKT의 대응 조치: 유심 교체와 보호 서비스

SK텔레콤은 4월 28일부터 전국 2,600여 개 대리점에서 무상 유심 교체를 시작했습니다. 또한, 유심 복제 방지를 위한 '유심보호서비스'를 무료로 제공하며, 현재까지 약 2,218만 명이 가입했습니다 .

 

그러나 유심 재고 부족과 대리점 혼잡으로 인해 고객 불만이 이어지고 있으며, 정부는 5월 5일부터 SK텔레콤의 신규 가입 및 번호 이동을 일시 중단시켰습니다 .

 

피해 확산: 가입자 이탈과 주가 하락

해킹 사태 이후, SK텔레콤의 가입자 이탈이 급증하여 4월 한 달 동안 약 23만 7천 명이 다른 통신사로 이동했습니다. 이는 전월 대비 87% 증가한 수치로, SK텔레콤의 시장 점유율에 큰 타격을 주고 있습니다 .

또한, 주가는 최대 8.5% 하락하며 시가총액 약 8,700억 원이 증발하는 등 금융 시장에서도 부정적인 영향을 받았습니다 .

 

조사 진행 상황: 악성코드 추가 발견

한국인터넷진흥원(KISA)은 SK텔레콤의 서버 조사 중 'BPF도어'의 변종 8종을 추가로 발견했습니다. 이는 해킹 피해 범위가 당초 예상보다 더 클 수 있음을 시사하며, 추가 조사가 진행 중입니다 .

 

피해 입증 책임, 소비자에게 전가

SK텔레콤은 현재까지 유심 복제로 인한 직접적인 금전 피해 사례는 보고되지 않았다고 밝혔습니다 . 그러나 일부 이용자들은 피싱 문자 수신, 명의 도용 의심 등의 피해를 호소하고 있습니다.

 

SK텔레콤은 해킹으로 인한 개인정보 유출 피해에 대해, 소비자가 직접 피해 사실을 입증해야만 보상을 검토하겠다는 입장을 밝혔는데요. 이는 해킹 사실을 인정하면서도, 피해자에게 입증 책임을 떠넘기는 행태로 비판받고 있습니다. 특히, 유심 정보 유출로 인한 2차 피해는 시간이 지나야 드러나는 경우가 많아, 소비자가 피해를 입증하기 어려운 구조입니다.

 

보안 투자 부족이 낳은 대형 사고

SK텔레콤은 2022년 기준 정보보호 부문에 550억 원을 투자했으며, 보안 인력은 평균 36.9명에 불과했습니다. 이는 같은 기간 KT의 보안 투자액 1,034억 원, 보안 인력 242.8명에 비해 현저히 낮은 수치입니다 . 이러한 보안 투자 부족은 핵심 서버인 HSS(Home Subscriber Server)에 대한 보안 강화 미흡으로 이어졌고, 결국 'BPF도어(BPFDoor)'라는 고도화된 백도어 악성코드에 의해 유심 정보가 대량으로 탈취되는 결과를 초래했습니다 .

 

위기 대응: 부실한 초기 대응과 소통의 부재

해킹 사실을 인지한 후, SK텔레콤은 유심 교체와 유심보호서비스를 제공하는 등 대응 조치를 취했습니다. 그러나 이러한 조치들은 해킹 발생 후 상당한 시간이 지난 뒤에야 이루어졌으며, 고객들에게 해킹 사실을 알리는 문자 통보조차 없었습니다 . 또한, 유심 교체 과정에서 재고 부족과 대리점 혼잡으로 고객 불만이 이어졌으며, SK텔레콤은 이러한 상황에서도 신규 가입자 유치를 계속 진행해 비판을 받았습니다 .

 

번호이동 시 위약금 부과 논란

해킹 사태 이후, 많은 가입자들이 SK텔레콤을 떠나 다른 통신사로 번호이동을 시도하고 있습니다. 그러나 SK텔레콤은 해킹 사태로 인한 번호이동에도 불구하고, 기존 약정에 따른 위약금을 부과하겠다는 입장을 고수해 논란이 일었습니다. 이에 대해 소비자들은 "회사의 보안 부실로 인한 피해인데, 왜 소비자가 위약금을 내야 하느냐"며 반발하고 있습니다.