SKT 2021년부터 해킹 공격 받아…정부 “SKT 해킹은 막을 수 있었던 인재”

김규식 기자(dorabono@mk.co.kr), 고민서 기자(esms46@mk.co.kr) 2025. 7. 4. 20:45
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
정부, SKT 해킹 조사결과 발표
해커, 2021년 8월 서버 첫 접근
핵심서버 정보 손쉽게 탈취
고객정보까지 단계적 침투

유영상 SK텔레콤 대표이사가 정부의 해킹 사태 관련 최종 조사 결과가 발표된 4일 서울 중구 SKT타워에서 열린 해킹 사태 관련 입장 및 향후 계획 발표 기자회견에서 발언하고 있다. 2025.7.4 [사진 = 연합뉴스]

유영상 SK텔레콤 대표이사가 정부의 해킹 사태 관련 최종 조사 결과가 발표된 4일 서울 중구 SKT타워에서 열린 해킹 사태 관련 입장 및 향후 계획 발표 기자회견에서 발언하고 있다. 2025.7.4 [사진 = 연합뉴스]
정부가 SK텔레콤의 유심 해킹 사태로 가입 해지를 원하는 이용자에게 위약금을 면제하라고 초강수를 둔 배경에는 이번 사고가 ‘충분히 막을 수 있었던 일’이라는 인식이 깔려 있다. 단순한 외부 해커의 공격에 따른 불가항력적 사고가 아니라 보안 관리와 사고 대응 과정에서 부실이 드러난 ‘인재(人災)’라고 규정한 것이다. 류제명 과학기술정보통신부 2차관은 4일 정부서울청사에서 열린 브리핑에서 “민관합동조사단은 침해 사고 조사 과정에서 SK텔레콤이 보안 관리 미흡, 공급망 보안 소홀 등 기본적인 정보 보호 활동이 미흡했고 SK텔레콤의 대응이 체계적으로 가동되지 않은 사실을 확인했다”고 말했다.

과기정통부에 따르면 실제로 미상의 해커가 장기간 SK텔레콤의 시스템 관리망, 고객 관리망, 코어망 등에 침입하는 과정에서 필요한 계정 아이디와 비밀번호는 암호화되지 않은 상태로 보관돼 있었다. 해커는 2021년 8월 시스템 관리망 서버에 침투한 뒤 암호화되지 않고 저장돼 있던 다른 서버들의 계정 정보를 탈취했다. 이후 이 계정 정보를 이용해 시스템 내부로 점점 더 깊이 침투했고 마침내 SK텔레콤 코어망에 위치한 음성통화인증(HSS) 관리서버에까지 접근할 수 있었다.

[사진 = 픽사베이]

[사진 = 픽사베이]
이 서버는 전체 이동통신망 운영의 핵심으로, 유심 정보를 포함해 가입자 인증과 관련된 각종 중요 데이터를 관리한다. 해커는 이곳에 BPF도어 등 탐지가 쉽지 않은 악성코드를 설치했으며 지난 4월 18일 이 서버 3곳에서 유심 정보 9.82GB(기가바이트), 약 2696만건을 탈취했다. 정보보호관리체계(ISMS) 인증 기준은 종이, 파일, 모바일 기기 등에 비밀번호 기록과 저장을 제한하고 부득이하게 저장해야 할 경우에는 암호화 등 보호 대책을 적용해야 한다고 명시하고 있다. 조사단은 SK텔레콤이 이러한 ISMS 인증 기준을 따르지 않아 고객 계정 정보 관리가 미흡했다고 판단했다.

특히 이번 조사 결과 SK텔레콤은 해커의 공격이 이뤄진 뒤 약 6개월 후인 2022년 2월 특정 서버에서 비정상 재부팅이 발생하자 해당 서버 및 연계된 서버를 점검했다. 이 과정에서 악성코드에 감염된 서버를 발견해 1차 조치를 완료했지만, 문제가 남았다. 당시 정보통신망법은 침해 사고 발생 시 즉시 과기정통부 또는 한국인터넷진흥원(KISA)에 신고하도록 규정하고 있었음에도 SK텔레콤은 이를 이행하지 않았다. 또 당시 점검에서 SK텔레콤은 코어망의 HSS 관리서버에서 비정상 로그인 시도가 있었던 정황까지 파악했으나 전체 로그 기록 6개 중 1개만 확인해 해커가 서버에 실제로 접속한 사실은 끝내 알아내지 못했다. 류 차관은 “침해 사실을 신고하지 않아 정부 조사를 통해 악성코드를 발견하고 조치하는 기회가 무산됐다”고 강조했다.

또 세계이동통신사업자연합회(GSMA)는 유심 복제에 활용될 수 있는 유심 인증키(Ki) 값을 암호화하도록 권고하고 있으나 SK텔레콤은 이를 이행하지 않았던 것으로 드러났다. SK텔레콤은 유심 정보 보호를 위해 부정사용방지시스템(FDS)과 유심보호서비스를 운영하고 있었지만, 당시 가입자는 약 5만명에 불과했다.

가입자 유심(USIM) 정보를 탈취당한 SK텔레콤이 유심 무료교체 서비스를 시작한 28일 서울시내 한 SK텔레콤 PS&M 직영점에서 시민들이 유심 교체를 위해 줄을 서 있다. 2025.4.28 [한주형 기자]

가입자 유심(USIM) 정보를 탈취당한 SK텔레콤이 유심 무료교체 서비스를 시작한 28일 서울시내 한 SK텔레콤 PS&M 직영점에서 시민들이 유심 교체를 위해 줄을 서 있다. 2025.4.28 [한주형 기자]
이 밖에도 SK텔레콤은 해킹을 인지한 뒤 24시간 이내에 신고해야 함에도 이 기한을 넘겨 신고했다. 과기정통부는 정보통신망법에 따라 과태료를 부과할 예정이라고 밝혔다. 과기정통부 관계자는 “침해 사고 원인을 분석하기 위해 자료 보전을 명령했지만, SK텔레콤은 서버 2대를 포렌식이 불가능한 상태로 임의 조치한 뒤 조사단에 제출했다”며 “자료 보전 명령 위반과 관련해 수사기관에 수사를 의뢰할 방침”이라고 전했다.

과기정통부는 SK텔레콤에 재발 방지 대책 이행 계획을 7월까지 제출하도록 했으며 연말까지 이행 여부를 점검할 계획이라고 밝혔다. SK텔레콤은 보안 솔루션 도입을 확대하고 분기별 1회 이상 모든 자산에 대해 보안 취약점을 정기적으로 점검·제거해야 한다고 과기정통부는 밝혔다. 또 SK텔레콤은 방화벽 로그 기록 보관 기간을 기존 4개월에서 6개월 이상으로 늘리고, 협력업체가 공급한 소프트웨어 등 외부 서비스에서 발생할 수 있는 위험에 대한 보호 대책도 마련해야 한다. 아울러 정보보호최고책임자(CISO)를 최고경영자(CEO) 직속으로 격상시켜 회사의 정보 보호 정책을 총괄하게 하고, 정보기술최고책임자(CIO) 또한 두도록 과기정통부는 권고했다.

Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지

매일경제에서 직접 확인하세요. 해당 언론사로 이동합니다.