“유심 해킹 피해 차단”…과기정통부, SKT 사고 조사 종결 후 대응 강화

유심 해킹을 둘러싼 정보보안 이슈가 이동통신 산업의 신뢰성에 중대한 경각심을 일으키고 있다. 정부와 SK텔레콤이 공동조사단을 통해 유심 해킹 경로와 피해 규모를 확인하면서 기술적·제도적 대응이 강화되는 상황이다. 과학기술정보통신부는 4일 브리핑에서 "단말기식별정보(IMEI) 등 핵심 개인정보의 2차 유출과 복제폰 피해 우려는 확인되지 않았다"고 밝혔다. 업계는 이번 발표를 ‘통신 3사 보안 경쟁의 분기점’으로 평가하고 있다.

조사 결과 SK텔레콤 유심 해킹은 2021년 8월 최초 악성코드 침입에서 비롯된 것으로 드러났다. 비정상 로그인과 서버 감염 정황이 있었으나, 당초 보고보다 1년 앞선 시점이었다. 해커는 총 28대 서버에 침입해 유심정보(전화번호, IMSI 등 25종) 약 9.82GB, 약 2,696만 건을 불법 유출했다. 악성코드 33종과 BPF도어 등 다양한 해킹 도구도 발견됐다. 특히 유심정보와 단말기식별번호(IMEI), 이름, 생년월일, 이메일 등 일부 개인정보가 암호화 없이 평문으로 임시 저장돼 있었던 점이 기술적 허점으로 지적됐다.

유심 복제 우려에 대해 정부는 "복제폰, 복제유심 발생 가능성은 낮다"고 강조했다. SK텔레콤은 부정사용 방지시스템(FDS), 유심보호서비스 등 보안체계를 갖췄고, 단말기 제조사들도 “IMEI 단독 유출만으로 복제는 불가능하다”고 설명했다. 통화상세기록(CDR) 유출은 사생활 침해 우려를 남겼으나, 직접적 2차 범죄로 이어질 시나리오는 현재로선 사실상 확인되지 않았다. 전문가들은 일련번호 등 인증정보의 동시 탈취가란 고난이도 공격이 병행돼야 복제 가능성이 열릴 것으로 진단한다.

이번 사고의 주요 원인은 서버 접근관리 미흡, 인증키(Ki) 등 핵심정보 비암호화, 침해사고 신고 의무 불이행 등 복합적이다. SK텔레콤은 2022년 자체 조사 당시 보안 사고를 정부에 알리지 않고, 2024년 4월 사건 인지 직후에도 신고 기한(24시간) 내 접수를 누락했다. 정부는 전기통신사업법 위반에 따른 과태료를 부과할 예정이다. 류제명 과기정통부 2차관은 “고의성 등 범죄적 소지는 경찰이 수사 중이며, 기간통신사업자로서 추가 행정 조치 가능성도 있다”고 밝혔다. 

KT, LG유플러스, 주요 플랫폼 사업자에 대한 추가 피해 조사는 별다른 이상이 발견되지 않았다. 과기정통부는 “SK텔레콤 수준의 정밀 조사를 진행했고 현재까지 보안사고는 없다”고 전했다. 플랫폼사는 조사가 진행 중으로, 결과는 추후 공개될 예정이다.

업계 전문가들은 “통신 인프라 핵심정보의 암호화·접근통제 강화와 사고 즉시 신고체계 확립이 필수”라고 지적한다. 미국, 일본 등 주요국은 이동통신 핵심 인증정보를 법적으로 암호화 저장하도록 의무화하고 있으며, 사고 발생 시 실시간 위협정보 공유, 산업 내 정보보호 연대가 강조되고 있다. 

산업계는 보안사고 상시 보고제, 서버 권한 분리, 유심 정보 접근 로그의 장기 보관필수화 등 제도강화와 함께, 해킹 지속위험에 대비한 국제공조 시스템 구축이 필요하다고 보고 있다. 결국 기술의 속도를 따라잡는 보안 문화정착, 그리고 제도와 산업의 균형 잡힌 대응이 이번 사건의 핵심 과제가 될 전망이다.