[기술사토픽] SK텔레콤 유심 해킹 사고 완벽 정리 - 한장정리
2025년 SKT 유심 정보 유출 사고의 공격 기법(BPFDoor·APT), 피해 규모, 심 스와핑 위협, 기술적 원인 분석과 재발 방지 대책까지 기술사 시험 핵심 주제를 완벽 정리합니다.
Ⅰ.사고 개요 및 타임라인
2025년 4월 발생한 SK텔레콤 유심 정보 유출 사고는 국내 이동통신 역사상 최초로 핵심 통신 인프라(HSS)가 침해된 사건으로, 약 2,300~2,500만 명의 유심 관련 정보가 유출된 초유의 보안 사고입니다.
피해 대상: SKT 가입자 약 2,300만 명 + 알뜰폰 약 187만 명 = 최대 2,500만 명
유출 데이터: 전화번호·IMSI(국제이동통신가입자식별번호)·인증키(Ki) 등 9.7GB 분량
Ⅱ.공격 기법 분석 — BPFDoor & APT
BPFDoor는 리눅스 커널의 BPF(Berkeley Packet Filter) 훅을 활용하는 고도화된 스텔스 백도어입니다. 2021년 PwC 위협 분석 보고서에서 처음 공개됐으며, 중국 연계 APT 그룹(위버 앤트)의 전형적 수법으로 알려집니다.
| BPFDoor 특징 | 설명 | 기술적 메커니즘 |
|---|---|---|
| 포트리스닝 | 열린 포트 없이 특정 패킷 수신 | BPF 훅으로 커널 레벨 패킷 감청 |
| 흔적 최소화 | 네트워크 연결 기록·로그 없음 | 패킷 필터 레벨 동작으로 IDS 우회 |
| 리버스 셸 | 외부 C&C 서버로 역방향 연결 | UDP/53·TCP/443 포트 이용 |
| 장기 잠복 | 수년간 발견되지 않고 내부 체류 | 패턴 기반 탐지 완전 우회 |
| 권한 유지 | 루트 권한으로 시스템 완전 제어 | 커널 모듈 또는 루트킷 형태 |
보안업계에서는 이반티(Ivanti) VPN 장비 취약점을 통한 초기 침투 가능성을 제기했습니다. 외부 인터넷과 연결된 네트워크 장비를 통해 내부망으로 이동한 후 HSS에 접근한 것으로 추정됩니다.
| 공격 단계 | 설명 |
|---|---|
| ① 초기 침투 | VPN 장비 취약점(Ivanti) 또는 스피어피싱으로 내부망 진입 |
| ② 횡적 이동 | 내부 네트워크에서 HSS(핵심 인프라)로 이동 |
| ③ 지속성 확보 | BPFDoor 설치로 장기 백도어 구축 |
| ④ 데이터 수집 | 유심 인증 정보 (IMSI·Ki) 추출 |
| ⑤ 유출 | 암호화 채널(TLS)로 외부 C&C 서버에 전송 |
HSS(Home Subscriber Server): LTE/5G 핵심 인프라. 가입자 인증·위치·서비스 정보 저장.
BPFDoor = 스텔스 APT 백도어. 패턴 기반 NDR·IDS 완전 우회 → EDR·행위 기반 탐지 필요.
Ⅲ.유출 정보의 위협 — 심 스와핑
심 스와핑(SIM Swapping)은 유출된 유심 인증 정보로 피해자 번호를 복제·탈취하여 금융·인증 정보를 도용하는 공격입니다.
| 유출 정보 | 악용 가능 공격 | 피해 범위 |
|---|---|---|
| IMSI (국제가입자식별번호) | 통신 신호 도청·스푸핑 | 통신 감청 |
| 인증키(Ki) | 유심 복제 → 심 스와핑 | 금융 인증 탈취·대출 사기 |
| 전화번호 | 보이스피싱·스미싱 표적 설정 | 2차 사기 피해 |
| IMEI (미유출) | 단말기 위장·문자 도용 | 이번엔 미유출로 확인됨 |
| 문제 | 설명 |
|---|---|
| CISO 권한 부재 | CISO가 네트워크 보안 실질 권한 없음. NW 보안은 별도 조직 담당 |
| 리눅스 서버 EDR 부재 | 주요 통신 서버에 엔드포인트 탐지·대응 시스템 미적용 |
| 패치 지연 | VPN 장비 취약점 패치 지연으로 공격 기회 제공 |
| 탐지 체계 한계 | 패턴 기반 IDS·NDR으로 BPFDoor 같은 스텔스 공격 탐지 불가 |
| 신고 지연 논란 | 사고 인지 후 신고 타임라인 혼선. 축소 신고 의혹 |
Ⅳ.재발 방지 대책 & 기술사 교훈
| 대책 영역 | 구체적 방안 |
|---|---|
| 기술적 대책 | 리눅스 서버 EDR 도입·행위 기반 이상 탐지·제로트러스트 네트워크 분리 |
| 관리적 대책 | CISO에 실질적 권한 부여·통합 보안 거버넌스 체계 구축 |
| 법·제도적 대책 | 과징금 강화(최대 5,000억 원)·ISMS-P 실효성 강화·징벌적 손해배상 |
| 기술 인프라 | HSS 등 핵심 통신 인프라 완전 망 분리·다중 인증 강화 |
| 모니터링 | AI 기반 이상 행위 탐지·Supply Chain 보안 점검 |
BPFDoor: 커널 BPF 훅 기반 스텔스 백도어 → EDR·메모리 포렌식으로만 탐지 가능
심 스와핑 방어: 유심보호서비스(기기-유심 바인딩) + FDS(비정상 인증 차단)
핵심 교훈: CISO 권한 실질화 + 리눅스 서버 보안 강화 + 망 분리 철저
SKT 해킹은 핵심 통신 인프라 침해의 파괴력과 조직 보안 거버넌스의 중요성을 보여준 전례 없는 사건입니다.
향후 통신사 핵심 인프라 제로트러스트 전환·AI 기반 이상 탐지·공급망 보안 강화가 필수 과제입니다.
"보안은 기술의 문제가 아니라 조직의 문제이다. CISO에게 이름만이 아닌 실질적 권한을 주어야 한다."
블로그: 기술사 학습노트 · imt-log.tistory.com
'네트워크보안' 카테고리의 다른 글
| 랜섬웨어 대응 전략과 Zero Trust 보안 모델 총정리 (사전·사후 대응까지) (0) | 2026.03.20 |
|---|---|
| 국내외 주요 해킹 사고 사례 분석 (보안 취약점과 대응 전략 정리) (0) | 2026.03.20 |
| 쿠팡 개인정보 유출 사고 분석 (원인, 피해, 대응 방안 정리) (0) | 2026.03.20 |
| OSI 7계층과 TCP/IP 프로토콜 구조 비교 정리 (네트워크 기본 핵심) (0) | 2026.03.19 |
| 네트워크·보안 완전정복 — 기술사 핵심 토픽 모음 (0) | 2026.03.18 |
