반응형
1. 사건 개요 & 왜 중요한가
- 2,696 만 건 유심 정보 유출 ― 전화번호·IMSI·IMEI·Ki 같은 핵심 인증값 탈취
- 최초 침투 시점은 2021년 8월 ― 해커가 4년 가까이 내부망을 드나들며 악성코드 33종 설치
- 피해 고객 2,500 만 + ― 국내 이동통신 역사상 최대 규모 보안 사고
2. 타임라인 (쉽게 보는 연표)
날짜 | 주요 이슈 | 한눈 브리핑 |
2021-08-06 | 최초 악성코드 설치 | 관리망 서버 28대 감염 → 계정정보 평문 저장 취약점 노출 |
2025-04-18 23:50 | 대량 유출 | HSS 서버에서 유심 인증 정보 9.82 GB 탈취 |
04-20 03:30 | 정부 신고 | SKT → KISA·개보위 침해사고 신고 완료 |
04-25 | 유영상 대표 공식 사과 & 전 고객 USIM 무료 교체 선언 | 긴급 문자 발송 + 임시 교체 센터 운영 |
05 중순 | 과기정통부·KISA 민관합동조사단 구성 | 4만 2605대 서버 전수조사 착수 |
07-04 | 조사 결과 발표 | “SKT 보안 의무 위반” → 위약금 전면 면제 권고 |
07-05 | SKT 보상안 수용 | ▸ 4/19 ~ 7/14 해지 고객 위약금 100 % 환급 ▸ 8월 통신 요금 50 % 할인(전 고객) ▸ 5000억 규모 데이터·멤버십 보상 발표 |
07-05 ~ | 환급 포털 오픈 | 5일부터 환급액 조회, 15일부터 신청 가능 |
3. 정부 조사 → ‘SKT 책임’으로 결론 난 이유
- 계정·패스워드 평문 저장, 다중 인증 부재 → 내부 이동이 너무 쉬웠다
- 3년 전 이상 징후 인지 후에도 '무대응' → 막을 기회 상실이 가장 큰 과실
- 재발 방지 체계 부족 → 암호화·모니터링 규정 미준수 항목 다수 적발
조사단은 “약관상 ‘안전한 통신서비스 의무’ 위반이므로 위약금 면제가 정당" 하다고 공식 권고했습니다.
4. 유심(USIM) 정보 유출이 왜 이렇게 심각할까?
위험 항목악용 방식현실 사례·파급 범위
위험항목 | 어떻게 악용되나? | 현실 사례 / 파급 범위 |
① SIM 클로닝 | IMSI(가입자 번호) + Ki(인증키)만 있으면, 공·빈 SIM 카드(eSIM 포함)에 데이터를 굽고 **‘가짜 USIM’**을 만들 수 있음 → 네트워크는 이를 진짜 고객으로 착각 | 2025년 5월 포털 카페에 SKT 번호 이중 로그인 피해 30여 건 신고 → 통화 끊김·데이터 폭증·문자 수신 불가 현상 |
② OTP·2차 인증 탈취 (SIM 스와프) |
번호가 공격자 단말기로 ‘이전’되면, 은행·간편결제·가상자산 거래소 SMS 인증이 몽땅 넘어감 → 계좌 이체·코인 출금·대출 개설 가능 | 美 FBI “2023년 SIM 스와프 손실 5,000억 원” 보고, 국내서도 4월 이후 코인 지갑 털린 건 다수 수사 중 |
③ 통화·데이터 도·감청 | Ki가 있으면 AKA(인증·키 합의)로 파생되는 **세션키(CK·IK·K<sub>gNB</sub>)**를 역산 → 4G·5G 패킷까지 복호화 가능 | 보안 연구진 “도청·위치 추적도 이론상 가능” 경고 |
④ 스팸·봇넷 악용 | 자동화된 USIM 복제 → 수천 대 IoT 기기에 삽입, 불법 트래픽·DDoS 발원지로 사용 | KISA “클론 USIM 봇넷 탐지 땐 즉시 사용 중지” 지침 배포 |
⑤ 요금·명의 도용 | 공격자가 해외 로밍·프리미엄 전화 사용 → 요금 폭탄 + 신용 등급 영향 | SKT 고객센터 “4월 말 이후 해외 과금 이의신청 2,000건 접수” |
🔍 정리하면…
- **USIM은 ‘휴대폰 신분증+열쇠’**다
IMSI(주민번호)·Ki(전자서명)·ICCID(카드 고유값)은 비밀번호가 아니라 **‘복제 불가 전제’**로 설계된 영역이라 한 번 새어나오면 비밀번호 변경 같은 쉬운 해결책이 없다. - “통신 → 금융 → 생활” 전방위 피해
번호를 잃는 순간, 모바일뱅킹·공인인증·택시 호출·스마트홈까지 동일 인증망을 쓰기 때문에 생활 기반이 붕괴된다. - 대규모·지속성
이번 유출 규모(2,696만 건)는 “1인 1번호”인 한국 통신 구조에서 거의 전 국민급 리스크다. 하나의 Ki가 폐기되지 않는 한, 위험도는 시간이 지날수록 누적된다.
결국, 이번 SKT 사고는 단순 통신사 해킹을 넘어 ‘국민 생활 인프라’ 전반을 흔들 수 있는 사건입니다. 위약금 면제·요금 할인 같은 보상은 출발점일 뿐, USIM 재발급 → 네트워크 인증 프로토콜 전면 재점검까지 근본 처방이 뒤따라야만 실질적 안전이 확보됩니다.
5. 보상 패키지 디테일
구분 | 내용 | 비고 |
위약금 면제 | 4/19 00:00 이후 해지·7/14 까지 해지 예정 고객 대상 | 이미 납부했다면 9월부터 순차 환급 |
통신 요금 50 % 할인 | 7/15 기준 SKT·SKT 망 알뜰폰 전 고객 | 8월 요금 자동 적용 (신청 불필요) |
데이터 50 GB 추가 | 7 ~ 12월 매월 제공 | 5G·LTE 요금제 동일 |
신용 모니터링 5년 무료 | KISA 연계 서비스 예정 | 세부 절차 8월 공지 |
6. 고객 체크리스트 (🖐 꼭 읽어보세요)
- 해지했는데 위약금을 이미 냈다? → 7/15 ~ 12/31 ‘환급 포털’에서 신청.
- USIM 아직 교체 안 했다면 → 대리점·택배 무상 교체 계속 진행 중.
- 이탈 고려 중인 고객 → 7/14 전 해지 시 면제 대상, 이후엔 일반 위약금 부활.
- 사칭 스미싱 주의 → ‘위약금 환급’ 문자 클릭 금지, 포털 주소 확인 필수.
7. 마무리 & 시사점
“4년 잠복, 2일 탈취, 5,000억 보상.”
이번 사고는 ‘데이터 시대, 보안이 곧 고객 신뢰’라는 가장 단순한 진리를 증명했습니다.
위약금 면제·요금 할인은 출발일 뿐, USIM 전면 재발급과 네트워크 인증 프로토콜 재점검이 뒤따라야 실질적 안전이 확보됩니다.
반응형
'[잡담] 요즘 Hot 이슈' 카테고리의 다른 글
⚾ “52번, 고맙다” — 두산 베어스 김재호 은퇴식 스토리 (0) | 2025.07.06 |
---|---|
⚽ 디오구 조타(DiogoJota) (1996 – 2025) : 포르투갈 골목길에서 안필드의 심장, 그리고 너무 이른 작별 (1) | 2025.07.05 |
⚾ 최강야구·불꽃야구 논란 심층 분석 – “흥행 뒤에 숨은 숙제들” (1) | 2025.07.04 |