SKT, 데이터 유출 사고로 해지 수수료 면제 명령 받아

2025년 07월 04일

SKT, 데이터 유출 사고로 해지 수수료 면제 명령 받아

과학기술정보통신부는 금요일, 최근 발생한 SK 텔레콤의 SIM 해킹 사건과 관련한 공동 조사 최종 결과를 발표하며, 정부의 지시에 따라 4월 19일부터 7월 14일까지 계약을 해지하거나 해지할 예정인 고객들의 해지 수수료를 면제한다고 밝혔습니다.

이번 조사는 약 두 달에 걸쳐 진행되었으며, SK 텔레콤이 2021년 8월부터 시작된 사이버 공격의 대상이 되었으며, 4월에 약 2천7백만 명의 가입자 식별 번호(IMSI)와 연결된 SIM 정보 일부가 유출된 사실이 확인됐습니다.

정부는 이번 사고의 책임이 SK 텔레콤에 있다는 결론을 내리고, 고객들이 조기 해지 시 부과되는 벌금을 면제할 것을 결정하였습니다.

무슨 일이 있었나?

과학기술정보통신부는 금요일, SK 텔레콤 SIM 해킹 사건에 대한 공동 조사 최종 결과를 공개하였습니다. 이번 조사에는 SK 텔레콤의 42,605대 서버를 대상으로 총 여섯 차례의 검사가 이루어졌으며, 그 결과 33가지 유형의 악성코드가 발견되었습니다. 이 중에는 외부에서 서버에 접속할 수 있도록 설치된 BPFDoor의 27개 변종이 포함되어 있는데, 이는 정상적인 인증 절차와 네트워크 감시 시스템을 우회하는 목적으로 설치된 악성코드입니다. 이전 조사 결과(5월 발표)에서는 23개의 악성코드 유형이 23대의 서버에서 발견된 바 있는데, 이번 조사에서는 그 수가 늘어난 것입니다.

이 악성코드들이 설치된 서버들에서 총 9.82기가바이트 분량의 SIM 데이터를 유출했으며, 이 데이터는 전화번호와 IMSI를 포함한 25가지 데이터 유형에 걸쳐 있습니다. IMSI 수치를 기준으로 하면 약 2696만 케이스에 해당하며, 이는 사실상 모든 SK 텔레콤 가입자를 포괄하는 수치입니다.

정부는 추가 피해 가능성은 낮다고 평가하였으며, 과학기술정보통신부의 류제명 차관은 “1차와 2차 조사와 마찬가지로, SIM 복제에 따른 추가 피해는 발견되지 않았다”고 말하면서, “고객 관리 네트워크에 저장된 290,000개의 IMEI 역시 로그 기록 기간 동안 데이터 유출 징후가 없었다”고 설명했습니다. 하지만, 2년 반 동안의 로그 데이터가 없는 기간에 데이터 유출이 있었는지 여부는 아직 확인할 수 없다고 덧붙였습니다.

류 차관은 또한 “기술적 완전성을 보장할 순 없지만, SK 텔레콤은 이러한 불확실성에 대응하여 SIM 보호와 사기 탐지 시스템의 업그레이드를 신속하게 수행한 것으로 보인다”고 전했습니다.

SKT의 과실과 내부 보안 취약점

정부 최종 보고서에 따르면, SK 텔레콤은 이번 사고로 인해 고객이 서비스를 해지할 경우, 조기 해지 수수료를 면제하는 조치를 취해야 한다고 결론지었습니다. 류 차관은 “SK 텔레콤의 부주의와 안전한 통신 서비스 제공 의무 위반이 이번 사고의 핵심 원인으로 작용했으며, 이는 약관상 책임 소재에 포함된다”고 밝혔습니다.

조사 결과, SK 텔레콤은 민감한 정보들을 암호화하지 않았으며, 과거에도 보안 사고에 대해 적절히 대응하지 않고 보고하지 않았던 점이 드러났습니다. 이는 업체의 보안 체계에 심각한 문제점이 있음을 보여줍니다.

무단 침입과 그 원인

조사에 따르면, SK 텔레콤 내부의 자격증명 관리 부실이 이번 사고의 근본 원인입니다. 해커들은 2021년 8월 6일, 내부 서버에 처음 침투했고, 이 과정에서 관리 네트워크와 연결된 서버를 통해 침투했으며, 이 서버에는 암호화되지 않은 인증 정보들이 저장되어 있었습니다. 이를 통해 핵심 음성 인증 서버(HSS)에 접근할 수 있었고, 결국 해킹이 성공한 것입니다.

인증 키 역시 암호화되지 않은 상태로 저장되어 있었으며, 이는 이동통신 표준인 글로벌 시스템 포 모바일 커뮤니케이션(GSM)에서도 권장하는 보안수칙입니다. 현재 KT와 LG U+를 포함한 여러 통신사들은 이와 같은 정보를 암호화하는 방식을 채택하고 있습니다.

게다가 SK 텔레콤은 이전에 발생한 보안 사고에 대해 제대로 대응하거나 신고하지 않은 점도 드러났습니다. 예를 들어, 2022년 2월 23일 서버가 비정상적으로 재부팅된 사건이 있었지만, SK 텔레콤은 자체적으로 처리하는 데 그치며 경찰이나 당국에 보고하지 않았습니다. 정보통신망법에 따라 보안 사고는 즉시 신고해야 하며, 2024년부터는 24시간 이내에 보고 의무도 강화됩니다.

또한, SK 텔레콤은 감염된 서버에 대한 로그 검사도 제한적이었으며, 총 6개의 로그 중 단 하나만 점검하는 실수를 저질러 이번 사고의 전모를 파악할 기회를 놓쳤습니다. 류 차관은 “다른 다섯 개의 로그를 확인했더라면, 이미 HSS 서버가 BPFDoor 악성코드에 감염된 사실을 발견할 수 있었을 것”이라고 지적하였습니다.

앞으로의 조치 계획

과학기술정보통신부는 SK 텔레콤에 대해, 올해 7월 말까지 재발 방지 계획을 제출하고, 11월 또는 12월에 이를 이행하는지 점검할 예정입니다. 정부의 발표 직후, SK 텔레콤의 류영상 대표이사는 긴급 이사회 후 “4월 19일부터 7월 14일까지 서비스를 해지한 고객들에 대해 조기 해지 수수료를 전액 면제하겠다”고 공식 발표하였습니다.

Min-jae Lee

Min-jae Lee

제 이름은 이민재입니다. 서울에서 금융 분석가로 일하다가, 누구나 신뢰할 수 있는 경제 뉴스를 제공하고자 NEWS더원을 창립했습니다. 매일 한국 비즈니스의 흐름을 깊이 있게 분석하고 정확하게 전달하는 데 최선을 다하고 있습니다.