SKT 해킹사태 정리

0. 발단

2025년 4월, SK텔레콤에서 해킹으로 인한 악성코드 감염으로 정보 유출 사태가 발생했다. 이는 SK텔레콤의 홈 가입자 서버(HSS) 시스템에 침입한 해커의 악성코드로 가입자들의 유심정보가 유출된 대규모 개인 정보 유출 사태다.

 

1. 심각성

전화번호, 주민등록번호와 같은 개인정보들은 유출 논란으로 인하여 우스갯소리로 공공재처럼 인식되고 있다. 그러나 이번 사태는 전혀 다른 차원의 문제라고 한다.

• 삼성, '해킹 사고' SKT 이용 계열사 임원들에 유심 교체 지시

단적인 사례로 삼성에서 임원들에게 유심 교체를 지시하고 있다. 차원이 다르다고 할 정도로 심각한 사태이며, 대기업에서는 유심 교체를 지시하였다. 유심 교체를 하면 현재 상황이 어떻게 나아질까?

 

먼저 이번사건은 유심정보가 유출된 사건이며, 유심에는 일반적으로 다음과 같은 정보들이 담겨있다.

전화번호 / ICCID / IMSI / Ki 등등..

 

그리고 뉴스기사에는 유출 목록이 아래처럼 기재되어 있다. 

• 이동가입자 식별번호(IMSI)
• 유심 인증키(Ki)

SIM cloning에 여러 정보가 필요하겠지만 IMSI와 Ki가 핵심정보인데 유출된 것이다. IMSI는 가입자 고유번호로 일반적으로는 바뀌지 않지만, 유심을 바꾸면 유심 인증키(Ki)가 바뀌게 되어 한시름 놓을 수 있는 것이다. 또한 비슷한 시나리오로 SIM swapping이 존재하지만 이쪽은 더 사회공학적인 해킹이 필요해 보인다.

 

2. 소비자의 대응방법

먼저 알려진 방법은 다음과 같다. 아래 3가지 방법 중 하나만 해도 일단 한시름 놓을 수는 있을 것이다.

• 유심 재발급

위 방법은 유심 인증키(Ki)를 변경하게 되기 때문에 공격으로부터 멀어질 수 있다.

• eSIM으로 교체

이 방법 또한 SIM 교체에 해당하지만, eSIM에 대해서는 사용하는 환경에 따라 여러가지 귀찮은 일들이 발생할 수 있어서 선호하지 않고 있다. 또한 구형 스마트폰을 쓰는 입장에서는 사용해볼 수도 없다.

• 유심보호서비스 가입 

현재 SK텔레콤에서는 '유심보호서비스'를 제안하며 현재 유출된 사태에 대한 해결책으로 해당 부가서비스를 제시하고있다. 휴대폰을 개통할 때 등록한 IMEI와 접속을 시도한 기기의 IMEI를 대조하여 일치하지 않을 경우 망에 접속되지 않게 하는 방법이다. 정리해보면, SK텔레콤 전산에 등록되어있는 휴대폰과 SIM이 장착된 휴대폰이 일치하지 않으면 막아버리겠다는 것으로 보인다.

그러나 해당 부가서비스에는 대표적으로 두 가지 제약이 존재한다. 

• 로밍 사용 불가능
• 유심기변 제약

그리고 선택적으로 2차 피해를 위해 막기 위한 서비스들도 가입 가능하다. 다만, (1)은 상황에 따라 제약이 생기며, (3),(4)는 신청하면 한번에 모든 은행과 금융사에 다 제한이 되지만, 신청 이후로는 각 은행마다 개별적으로 대면하여 다 해제해야 한다는 점이 존재한다.

(1) 유심보호 서비스 → 각 통신사 앱

(2) 명의도용방지 서비스 → 카카오뱅크 혹은 PASS앱

(3) 비대면 계좌개설 차단 서비스 → 카카오뱅크 혹은 은행 앱

(4) 여신거래 안심차단 서비스 → 카카오뱅크 혹은 은행 앱

 

3. BPFDoor

• KISA, SKT 해킹 악성코드 공개...보안 점검 권고

BPFDoor는 리눅스용 악성파일을 심는 방식으로 리눅스의 네트워크 기능(BPF)을 악용한 스텔스형 백도어 악성코드다. KISA에서는 SK텔레콤을 언급하지는 않았지만 SKT인 것으로 다들 보고 있는 것 같다.

 

BPFDoor는 Berkeley Packet Filter의 raw socket sniffing 기능으로 정상 포트는 열지 않고, 특정 ICMP/TCP 패킷만 감지해서 명령을 수신하고 쉘을 실행한다. 열리는 포트도 없고, 방화벽에도 안잡히고, 로그도 안남는 스텔스형 백도어다.

 

 

4. 마치며

부가서비스인 유심보호서비스는 SIM Clonning과 같은 공격을 방어하는데는 효과적일 수 있다. 그러나 이번 유출 사태로 인하여 USIM을 바꿔야 안전해지며, 임시방편으로 급하다면 유심보호서비스라는 서비스를 필요에 따라 스스로 신청해야 되는 상황이다.