SKT 고객 2700만 명 정보 해킹 주장 사건 심층 분석

사건 개요 및 해커 조직의 주장

국제 해킹조직 “Scattered Lapsus$” (스캐터드 랩서스$)는 2025년 9월 15일 오후부터 텔레그램 채널을 통해 SK텔레콤(SKT)의 고객 데이터를 해킹해 확보했다고 주장하며, 이를 판매하겠다는 조건을 공개했습니다. 해커들은 약 100GB 분량의 샘플 데이터를 1만 달러(약 1,386만원)에 판매하겠다고 올렸고, SK텔레콤 측이 연락해 협상에 응하지 않을 경우 약 2,700만 명 분량의 고객 데이터와 관리자 접근 권한을 모두 공개하겠다고 협박했습니다. 이 2,700만 명이라는 숫자는 SK텔레콤 전체 가입자 규모와 비슷하여 사실일 경우 파장이 매우 클 것으로 예상되었습니다. 해커는 실제로 샘플 판매를 시작했다며 “지금까지 약 42명이 연락했고 모두 한국인”이라고 주장하는 등 거래가 진행 중임을 시사하기도 했습니다.

해커가 공개한 증거와 신뢰성 평가

해커 조직은 자신들의 주장을 뒷받침하기 위해 여러 증거 자료를 텔레그램에 공개했습니다. 해당 자료에는 상당히 구체적인 내부 정보와 화면이 포함되어 있어 사실 여부에 대한 논란이 일었습니다:
• 샘플 개인정보 데이터 (100GB 분량) – 고객 ID, 이름, 전화번호, 이메일, 주소, 생년월일, 가입일 등 여러 민감 정보가 포함된 데이터 파일을 일부 공개. 일부 항목은 모자이크 처리되었지만 2025년 9월 15일자로 기록된 최신 데이터 표시도 확인되어 최근에 탈취된 정보임을 암시했습니다.
• SK텔레콤 관리자 대시보드 화면 캡처 – SK텔레콤 로고가 찍힌 Admin/User Dashboard 화면으로, ‘Active Users’, ‘Network Alerts’ 지표와 데이터 사용량 그래프 등 SKT 내부 관리 시스템 UI가 노출되었습니다. 화면에는 여러 고객의 ID·이름·전화번호·이메일·가입일 정보 리스트도 포함되어 있었습니다.
• FTP 서버 디렉토리 목록 화면 – ftp.sktelecom.com 주소로 접속된 FTP 클라이언트 화면을 공개했는데, /home/admin 경로의 backup, docs, images, logs, public, www 등의 주요 디렉터리와 index.html, config.txt 등의 파일 목록이 보였습니다. 이러한 구체적인 서버 경로와 파일명까지 등장해 실제 SKT 서버에 접근한 흔적으로 보이는 정황입니다.

이러한 구체적 증거에 대해 보안 전문가들은 단순한 이미지 합성이라기보다는 실제 해킹으로 확보한 자료일 가능성이 높다는 의견을 내놓았습니다. 공개된 데이터의 스키마 구조나 관리자 UI 화면, FTP 경로 등이 SKT의 실제 운영 환경과 유사하다는 분석이 나왔고, 이는 이번 해킹 주장에 신빙성을 더해주는 대목입니다. 실제로 일부 보안 전문가들은 “합성보다는 실제 서버 접근 기록일 가능성”을 제기하며, 제한된 증거만으로는 단정 지을 수 없지만 추가 검증이 필요하다고 지적했습니다.

SK텔레콤의 공식 입장과 초기 대응

SK텔레콤은 해당 해커 조직의 주장에 대해 즉각 부인하며 강경 대응에 나섰습니다. 9월 16일 오전 SK텔레콤 측은 언론에 “해커가 다크웹(텔레그램)에 올린 샘플 데이터와 웹사이트 캡처 화면, FTP 화면 등을 분석한 결과, 당사에 존재하지 않는 웹사이트와 화면이 포함되어 있었고 해커 측 주장 내용은 전혀 사실이 아닌 것으로 확인됐다”고 발표했습니다 . 즉, 해커가 공개한 웹사이트 관리 페이지 화면 등이 실제 SK텔레콤의 시스템이 아니라는 것입니다. 또한 “해커가 주장하는 100GB의 데이터 역시 유출된 적이 없는 것으로 나타났다”며 데이터 유출 사실을 전면 부정하였습니다 . 현재 SK텔레콤은 관계 당국과 협력하여 이 사건의 진위 여부를 면밀히 확인 중이라고 밝혔습니다.

SK텔레콤은 이와 함께 고객들에게 당부의 메시지를 전하는 등 대응 조치에 들어갔습니다. 만약 해킹 주장이 사실무근으로 최종 확인되면 해커 조직의 허위 협박에 단호히 대처하겠지만, 만에 하나 사실로 드러날 경우 신속히 고객 보호 조치를 취하고 수사기관 조사에 적극 협조하겠다는 입장입니다. 현재까지 SK텔레콤 내부 조사 결과로는 해커가 제시한 증거들이 자사 시스템과 일치하지 않아 신빙성이 낮다는 판단이지만, 최종 결론은 수사 결과를 지켜봐야 하는 상황입니다.

보안 업계의 시각과 제기된 의문점

보안 업계와 전문가들은 이번 사안을 예의주시하면서도 몇 가지 가능성을 열어두고 있습니다. 한편으로는 실제 해킹일 수 있다는 우려와 함께, 다른 한편으로는 해커들의 허세 또는 사기 수법일 가능성도 있다는 의견이 나오고 있습니다. 실제 다크웹에는 진짜 유출 데이터뿐만 아니라 거짓 협박이나 조작된 이미지를 이용한 가짜 협박 사례도 많기 때문에, 이번 사건도 검증되지 않은 주장에 기반한 bluff일 수 있다는 지적입니다.

특히 업계 일각에서는 이번 해커 조직의 요구와 협박 수법이 과거 SKT 해킹 사건을 틈탄 모종의 사기극일 가능성을 제기합니다. 이번 협박은 지난 4월 SKT 해킹 사건을 겨냥한 사기로 추정된다는 분석도 있으며, 실제로 논란이 확산된 9월 16일 오전 현재 문제의 텔레그램 채널 Scattered Lapsus$가 사라진 상태(탈퇴)인 것으로 알려졌습니다 . 해커 측이 증거를 일부만 공개한 채 연락을 유도하고 협상을 벌이는 행태는 일종의 데이터 브로커 전략의 전형으로 볼 수 있는데, 샘플-접촉-협상-판매”로 이어지는 이러한 수법이 실제 데이터 없이도 이루어졌을 가능성을 배제할 수 없다는 지적입니다 .

4월 SKT 해킹 사건과의 연관성 분석

이번 사안을 두고 많은 전문가들이 주목하는 부분은 지난 4월에 밝혀진 SK텔레콤 해킹 사건과의 연관성입니다. 2025년 4월 SK텔레콤은 대규모 해킹 피해 사실을 공개한 바 있는데, 2021년 8월 SKT 시스템에 원격제어 백도어가 심긴 후 약 3년간 잠복 공격이 진행되어 그 결과 약 2,696만 건의 유심(USIM) 관련 정보가 유출된 것으로 조사되었습니다 . 유출된 정보에는 휴대전화 IMSI, USIM 인증키(Ki·OPc) 등 가입자 식별에 중요한 25종의 데이터가 포함되어 있어 큰 충격을 주었습니다. 이 사건으로 SK텔레콤은 과학기술정보통신부로부터 보안 소홀 책임을 지적받아 행정처분 및 벌금을 부과받고, 재발 방지를 위한 대대적인 보안 투자 계획을 발표하기도 했습니다.

눈길을 끄는 점은, 이번에 해커 랩서스$가 주장하는 유출 데이터 규모(약 2,700만 건)가 지난 4월 사건의 피해 규모와 거의 동일하다는 사실입니다 . 전문가들은 “유사한 규모의 데이터가 다시 언급된 것은 단순한 우연이 아니다”라며 두 사건 간의 연결고리 가능성을 제기하고 있습니다 . 즉, 과거 침해 흔적을 기반으로 한 2차 공격일지, 혹은 전혀 별개의 경로로 이루어진 새로운 침투인지에 대한 정밀한 조사가 필요하다는 것입니다 . 만약 해커의 주장이 사실이라면 지난 해킹에서 탈취된 데이터를 이용해 추가 협박을 벌이고 있거나, 4월 사건에서 드러나지 않은 추가 백도어가 여전히 남아있을 가능성까지 염두에 둬야 합니다. 반면 해커의 주장이 거짓이라면, 4월 사건의 대략적 피해 규모만 차용하여 그럴듯한 협박 시나리오를 만들어낸 것으로 볼 수도 있습니다. 어느 쪽이든 “이번 공격과 4월 사건 간의 실제 연결고리를 확인하는 것이 향후 피해 확산을 막는 관건”이라고 전문가들은 강조합니다 .

한편, Scattered Lapsus$ 조직 자체에 대한 관심도 높습니다. Lapsus$는 2021~2022년 국제적으로 여러 기업들을 해킹하여 데이터 유출 및 협박을 자행했던 악명 높은 해킹 그룹으로, 마이크로소프트, NVIDIA, 삼성 등도 이들의 공격 대상이 된 바 있습니다. 이후 주요 조직원들이 검거되었으나 Scattered Lapsus$라는 이름으로 새로운 위협 그룹이 활동하고 있다는 정황이 포착돼 왔습니다. 실제로 2025년 8월 말 발생한 영국 재규어 랜드로버(JLR)사의 대규모 사이버 공격 배후에도 Scattered Lapsus$ Hunters로 불리는 세력이 지목되는 등 이들은 글로벌 범위에서 활동 중인 것으로 알려졌습니다. 이런 맥락에서 볼 때, 이번 SK텔레콤 사례가 국내 통신사를 노린 글로벌 해킹 조직의 표적 공격인지도 중요한 판단 포인트입니다.

개인정보 유출 시 예상되는 영향과 파장

SK텔레콤은 현재 이번 사건의 실제 유출 여부가 확인되지 않았다고 강조하지만, 만약 2,700만 명 규모의 고객 정보가 실제로 탈취되어 공개된다면 그 파장은 엄청날 것으로 보입니다. 우선 개인정보가 범죄에 악용되어 발생할 2차 피해가 우려됩니다:
• 피싱·스미싱 표적 – 이름, 휴대전화번호, 이메일 등 유출된 개인정보를 이용해 이용자들에게 맞춤형 피싱 이메일이나 스미싱 문자가 대량 발송될 가능성이 큽니다. 실제로 과거 대형 유출 사건 뒤 해당 정보를 활용한 사회공학 공격 사례가 빈발해왔습니다.
• 스팸 및 보이스피싱 증가 – 전화번호와 주소 등의 대량 유출은 곧바로 스팸 전화·문자의 증가로 이어질 수 있고, 정교한 보이스피싱 시도가 늘어날 수 있습니다. 공격자들이 유출된 정보를 기반으로 신뢰를 주는 사기 시나리오를 만들어낼 수 있기 때문입니다.
• 계정 탈취 및 사기 거래 – 유출된 가입자 ID, 이메일 등으로 통신사나 포털의 계정 탈취를 시도하거나, 유출된 USIM 정보로 유심 복제를 통한 인증서버 우회 공격까지 발생할 수 있습니다. 이렇게 되면 SMS 본인인증을 가로채 금융서비스나 2FA(이중인증)를 무력화해 각종 금융·전자상거래 사기로 연결될 수 있습니다.
• 소액결제 사기 – 국내 통신사의 휴대전화 소액결제 시스템을 악용한 결제 사기도 우려됩니다. 실제 사용자 행세를 하며 콘텐츠 결제나 Gift 카드 구매 등에 이용자 몰래 결제가 이뤄지는 수법인데, 유출된 가입 정보는 이러한 사기에 악용될 수 있습니다.

뿐만 아니라, 이번 사건이 사실로 확인될 경우 국내 통신사 전반에 대한 신뢰도 추락과 보안 체계 타격이 불가피합니다. SK텔레콤은 국내 이동통신 1위 사업자로서 가입자 2,700만 명은 대한민국 인구의 절반 이상에 해당하는 규모입니다. 이들의 개인정보가 한순간에 유출되었다면 국가 기간통신망의 보안에 대한 심각한 경고음으로 받아들여질 것입니다. 통신3사를 비롯해 관련 기관 전반에 대대적인 보안 점검과 투자 압박이 가해지고, 법적·행정적 후속 조치도 불가피합니다. 실제 지난 4월 해킹 사건 때에도 정부는 통신사들의 미흡한 서버 보안 실태를 지적하며 재발 방지 대책을 주문한 바 있습니다. 만약 비슷한 규모의 사고가 또다시 발생했다면, 통신 분야의 사이버 보안 체계 전반에 대한 근본적 재점검이 이뤄질 가능성이 높습니다.

기업 차원에서도, SK텔레콤은 올해 이미 한 차례 해킹 사고로 인해 고객 신뢰에 타격을 입었고 상당한 비용을 들여 보안 강화와 고객 보상에 나선 바 있습니다. 그런데 동일하거나 더 큰 규모의 추가 유출이 확인된다면, 기업 이미지와 신인도 하락, 대규모 집단소송이나 과징금 등의 후폭풍까지 예상됩니다. 기업들은 실제 해킹이든 허위 협박이든 선제적 사이버 위협 모니터링과 대응 체계를 갖추는 것이 중요해졌습니다.

향후 전망 및 결론

현 시점에서 이번 사건의 진실은 아직 명확히 규명되지 않은 상태입니다. SK텔레콤과 관계 당국이 조사 중이며, 가까운 시일 내에 해커 주장에 대한 사실 여부가 공식 발표될 것으로 보입니다. 두 가지 가능성 – 실제 해킹 사건이거나 교묘한 사기극 – 사이에서 결과에 따라 후속 대응 시나리오도 크게 갈릴 것입니다.
• 만약 해킹이 사실로 확인된다면, 이는 2025년 들어 두 번째로 드러나는 SK텔레콤의 대형 정보 유출 사고가 됩니다. 이 경우 SK텔레콤은 즉각적인 공식 사과와 함께 피해 고객들에 대한 안내 및 지원 조치를 시행하고, 재발 방지를 위한 더욱 강력한 보안 강화책을 내놓아야 할 것입니다. 또한 수사기관은 국제 해커 조직에 대한 추적과 공조 수사에 착수하게 되고, 정부 차원에서도 통신망 보안 전반에 대한 긴급 점검과 제도 개선 논의가 촉발될 전망입니다. 통신사 고객들은 본인의 개인정보 변경, 비밀번호 교체, 각종 2차 인증 수단 점검 등 개인 보안 조치를 취해야 하는 상황이 될 수 있습니다. 그리고 이번에는 미국처럼 소비자 권익을 훨씬 높은 가치로 인정하여, SK텔레콤에 대한 막대한 과징금과 일부 사업 제한까지 염두할 필요가 있습니다. 현 정부의 산업제해 등 개인의 피해에 대한 강경한 입장을 고려하면 이는 충분히 현실적 예상입니다.
• 반대로 해커의 주장이 허위로 판명된다면, 일단 대규모 정보유출 사태는 모면하게 되지만 여전히 숙제가 남습니다. 이번 사례는 사이버 범죄자들이 기존 해킹 사건을 이용해 어떻게 협박과 혼란을 야기할 수 있는지를 보여주었으며, 기업과 이용자 모두 이러한 소셜 엔지니어링형 위협에 대비해야 함을 일깨웠습니다. SK텔레콤을 비롯한 기업들은 허위 정보 유포에 대한 대응 프로토콜을 점검하고, 고객들을 대상으로 피싱 주의보를 발령하는 등 예방 활동을 강화할 필요가 있습니다. 정부 당국도 허위 협박이라 하더라도 업무방해 및 협박 범죄로 간주해 수사에 나설 수 있으며, 다크웹상의 유사한 사례들에 대한 모니터링 강화가 요구됩니다.

결론적으로, “SKT 2700만 고객 정보 판매” 해킹 주장 사건은 사실 여부를 떠나 국내 통신 산업 전반에 큰 파장을 불러일으켰습니다. 이번 사건을 계기로 통신사의 보안 투자가 충분했는지, 고객 정보 보호 체계에 허점은 없었는지 재점검해야 한다는 목소리가 높습니다. 또한 국제 해킹 조직의 공격 수법이 갈수록 정교해지고 있는 만큼, 기업과 정부의 공조 대응 전략도 재정비해야 할 것입니다. 현재 SK텔레콤과 관계 당국의 조사가 진행 중이며, 사실 관계가 최종 확인되는 대로 그 결과에 따른 대응 조치가 뒤따를 것입니다. 이번 사태의 추이를 지켜보면서, 기업은 선제적인 보안 강화, 이용자는 보안 인식 제고를 통해 이러한 대규모 해킹 협박의 위험을 함께 극복해 나가야 할 것입니다.