SKT 유심칩 해킹 사건 종합 보고

1. 사건 발생 시기와 전개

SK텔레콤(SKT)의 가입자 유심(USIM) 정보 해킹 사태는 2025년 4월 중순에 드러났다. 주요 일지를 정리하면 다음과 같다:
1. 4월 19일: SKT 내부 **홈가입자서버(HSS)**에서 악성코드 활동과 고객 유심 정보 유출 정황이 밤늦게 발견되었다 . 해당 HSS는 가입자 전화번호, IMSI 등 유심 정보와 통신 서비스에 필요한 데이터를 통합 관리하는 핵심 서버였다 .
2. 4월 20일: SKT는 한국인터넷진흥원(KISA)에 침해사고 발생을 공식 신고하고 조사를 요청했다 . 발견 즉시 문제의 악성코드를 삭제하고 해킹이 의심되는 장비를 격리하는 등 초기 대응 조치를 취했다 . 아직 해당 정보가 실제로 악용된 사례는 없다고 밝혔다.
3. 4월 21일: 과학기술정보통신부(과기정통부)와 KISA가 합동으로 비상대책반을 구성하고 본격 조사에 착수했다 . SKT에 관련 로그와 자료 보존을 요구하고, KISA 기술 전문가들을 현장에 파견하여 해킹 원인 분석 및 추가 피해 확산 방지 작업을 진행했다 . 사건의 심각성을 감안한 이례적으로 신속한 조치였다.
4. 4월 22일: SKT는 개인정보보호위원회에도 사고를 신고하였다 . 정부는 필요 시 민·관 합동조사단을 꾸려 심층 원인분석과 재발방지 대책을 마련하겠다고 발표했다 . 한편 보안 업계에서는 **“SKT 같은 보안 강자도 뚫렸다”**는 충격과 함께, 공격이 고도로 계획된 장기작업일 것이란 추측이 나왔다 . 내부망이 망분리로 보호되었을 텐데 침투한 것을 보면 내부자 실수 또는 소행 가능성도 배제하기 어렵다는 분석도 제기되었다 .
5. 4월 25일: KISA는 보호나라를 통해 이번 공격에 사용된 악성코드의 위협 정보를 긴급 공유했다 . 공격에 활용된 IP 주소, 악성코드 해시값, 파일 정보 등을 담은 보안 공지를 각 기관과 기업에 배포하여 자체 보안점검을 권고했다  . 공지에는 SKT를 명시하지 않았지만, SKT 해킹에 쓰인 것으로 파악된 BPF도어 악성코드 관련 내용이 포함되어 있었다 . 이는 관계 기관과 기업들이 동일한 수법의 침투 여부를 점검하도록 하기 위한 선제 조치였다.
6. 4월 28일: SKT는 유심 무상 교체 서비스를 전격 시행하며 고객 불안 해소에 나섰다 . 해킹 사실이 알려지자 많은 가입자가 혹시 모를 심 스와핑(SIM swapping) 피해를 우려하여 대리점을 찾았고, 일부 매장에서는 이른 아침부터 유심 교체를 위한 대기 줄이 길게 늘어서 혼잡을 빚었다  . SKT는 자사 홈페이지와 T월드를 통해 유심 보호서비스 가입도 무료로 제공하기 시작했다 . 이 서비스에 가입하면 다른 기기에 내 유심을 꽂아도 작동하지 않도록 차단할 수 있어, 유심 정보 유출에 따른 불법 복제폰 개통을 예방할 수 있다고 설명했다 .
7. 4월 29일: 과기정통부 주도의 민·관 합동조사단이 1차 조사 결과를 발표했다. 조사된 3개 범주의 서버 5대에서 유출이 확인된 정보는 25종으로, 이 중 가입자 전화번호, 가입자식별키(IMSI) 등 유심 관련 4종 정보와 SKT 관리용 내부정보 21종이었다고 밝혔다 . 다행히 단말기 고유식별번호(IMEI) 등 핵심 정보는 유출되지 않았다고 확인했다 . IMEI는 휴대폰 불법 복제에 필수적인 15자리 번호로, 이번 사고에서 빠져 있었다는 점에서 **“휴대폰 불법 복제 가능성은 없다”**고 정부는 강조했다 . 한편 해킹 수법으로 리눅스 BPF(Door) 백도어 계열 악성코드 4종이 사용된 정황을 확인하여 관련 정보를 이미 25일에 유관기관에 공유했으며, 다른 중요 서버로 조사 범위를 확대 중이라고 밝혔다 . 합동조사단은 공격자의 통신 내역을 탐지하기 어려울 정도로 은밀한 악성코드가 쓰였으며, 명확한 공격자 특정에는 이르지 못했다고 설명했다  . 개인정보보호위원회는 “이번 사고는 작년 LG유플러스 해킹 때와 달리 메인 서버가 뚫린 중대한 사안”이라며 우려를 표했다  .
8. 4월 30일: 국회 과방위 긴급 현안질의에서 SKT 유영상 대표가 대국민 사과를 하고 질의에 답변했다 . 그는 “최악의 경우 전체 가입자 정보가 유출되었다는 전제 하에 대비 중”이라고 밝혀, 피해 범위를 SKT 전체 가입자 약 2,300만 명으로 보고 대처하고 있음을 시사했다 . 또한 “유심칩 전체 교체“에는 재고 확보와 대리점 처리 역량상 최소 3개월이 걸릴 것으로 예상되므로, 그동안 eSIM으로 전환하거나 유심 보호서비스 가입을 권장한다고 말했다 . SKT는 물리적 유심을 바꾸지 않고도 소프트웨어적으로 유심 정보를 변경하는 “유심 포맷” 기술을 개발 중이며, 5월 10일경 적용을 목표로 하고 있다고 밝혔다 . 정부 합동조사는 아직 진행 중이며, 추가 서버의 침해 여부를 철저히 살피고 있다.

2. ‘BPF도어’ 백도어의 기술적 특성과 위협 수준

SKT 해킹에 사용된 것으로 밝혀진 **BPF도어(BPFDoor)**는 리눅스 및 유닉스 시스템을 노린 고도화된 스텔스 백도어 악성코드다. **버클리 패킷 필터(BPF)**라는 운영체제 내장 기능을 악용하여 방화벽을 우회하고, 포트를 열지 않고도 외부로부터 명령을 수신할 수 있는 은밀한 통신 채널을 만들어낸다 . 보안 솔루션이나 관리자에게 들키지 않고 몰래 침투·은신하는 능력이 탁월하여, 2017년 무렵부터 약 5년간 보안 업계에 존재조차 탐지되지 않았던 전력이 있다 . 2021년 PwC 위협 보고서를 통해 처음 실체가 공개된 이후로 지속해서 진화해왔고, 최근 SKT 가입자 서버 침해에 동일 수법이 활용되어 큰 위협으로 부상했다  .

2.1 침투 경로와 은신 기법

BPF도어의 침투 방식은 일반 악성코드와 차별화된다. 해커는 먼저 표적 시스템에 대한 초기 침투(예: 기존 취약점 익스플로잇 등)에 성공한 후, 관리자 몰래 뒷문을 만들기 위해 이 악성코드를 설치한다 . BPF도어는 시스템에 설치되면 자신의 프로세스 이름을 kdmtmpflush, vmtoolsdsrv 등 겉보기엔 정상적인 시스템 프로그램 이름으로 바꾸어 숨어든다 . 평상시에는 자기 몸을 거의 드러내지 않고 잠복해 있으며, 네트워크 패킷 필터 기능을 이용해 외부에서 들어오는 특정 신호를 조용히 감시한다  . 해커는 미리 정해둔 **“매직 패킷” (특정 비밀 신호)**을 감염된 서버로 보내어, BPF도어가 그 신호를 포착하면 비로소 동작을 개시하도록 만들 수 있다  . 예를 들어 한 보안 전문가는 이를 **“관리자 몰래 열리는 비밀 통로”**에 비유하며, 해커가 **“열려라 참깨”**와 같은 암호문을 네트워크로 보내면 BPF도어가 이를 알아채서 문을 열어주는 원리라고 설명했다 . 이처럼 매직 패스워드가 입력되기 전까지는 악성코드가 움직이지 않으므로, 침투 후에도 보안 모니터링에 포착되지 않고 오랜 기간 은닉될 수 있다.

BPF도어는 커널 레벨에서 패킷을 가로채는 방식으로 동작하기 때문에, 일반 악성코드처럼 방화벽이나 포트 기반 탐지에 잘 걸리지 않는다 . 마치 합법적인 BPF 필터 동작처럼 위장하여 네트워크 트래픽을 검사하므로, 보안 솔루션의 시야를 회피하면서도 해커의 지령을 듣는 통로 역할을 수행한다  . 특히 이전 버전의 BPF도어는 코드 내에 고정된 명령어나 파일명 등의 식별 요소가 있어 비교적 탐지가 수월했으나, 최신 변종은 이러한 이름과 흔적마저 제거하여 시그니처 기반 탐지와 분석을 더욱 어렵게 만들고 있다 . 한 마디로 BPF도어는 **“장기간 은닉이 가능한 정교한 백도어”**로 평가되며, 관리자가 눈치채기 어려운 **지능형 지속 공격(APT)**에 악용될 소지가 크다 .

2.2 리눅스 시스템에서의 동작 원리

리눅스 시스템에서 BPF도어는 커널 모드에서 동작하거나 커널과 상호작용함으로써 특별한 역할을 수행한다. 일반적인 백도어가 외부 접속을 받아들이기 위해 포트 리스닝을 하거나 프로세스를 띄우는 반면, BPF도어는 네트워크 레이어에서 직접 패킷을 훔쳐보기 때문에 겉으로 드러나는 포트가 없다 . 해커가 사전에 설정한 매직 패킷(특정 패턴의 패킷)이 도달하면 BPF도어는 곧바로 시스템 쉘 접근 권한을 열어주는데, 이때 두 가지 모드로 동작할 수 있다. 하나는 리버스 쉘(reverse shell) 방식으로, 감염된 서버가 해커의 컴퓨터로 먼저 아웃바운드 연결을 시도해 접속을 열어주는 방법이고, 다른 하나는 바인드 쉘(bind shell) 방식으로, 감염 서버 내에 해커만 접근할 수 있는 포트를 몰래 열어두고 대기하다가 접속을 허용하는 방법이다 . 두 경우 모두 일반 합법 트래픽에 섞여서 이루어지기 때문에 관리자 입장에서는 누군가 시스템에 드나드는지를 알아차리기 어렵다  .

BPF도어의 이러한 은밀한 양방향 통신 기능 덕분에, 해커는 원격에서 감염된 리눅스 서버를 자유롭게 조종하거나 민감한 정보를 탈취할 수 있다. SKT 해킹의 경우 공격자는 HSS 서버에 BPF도어를 심어두고 네트워크를 통해 원격 조작함으로써, 가입자 유심 데이터를 외부로 빼돌린 것으로 보인다  . 실제로 BPF도어는 유심 관련 데이터베이스를 탈취할 수 있는 기능을 갖추고 있으며, 이러한 악성코드 사용 흔적이 이번 사건 조사에서 포착되었다  . 합동조사단에 따르면 해커는 BPF도어를 통해 서버의 뒷문을 열고 내부에 잠입했으며, 서버가 감염되어도 관리자들은 당장 알아채기 어려울 정도로 교묘한 방법이었다고 한다 . 결국 BPF도어에 감염된 시스템은 해커 마음대로 열리고 닫히는 비밀통로가 된 셈이며, 일반 사용자 단말이나 네트워크 장비의 이상 징후만으로는 이러한 침입을 파악하기 어려운 구조다.

2.3 탐지 어려운 이유와 위협 수준

BPF도어가 탐지하기 난해한 이유는 앞서 언급한 바와 같이 커널 수준에서 동작하면서 지능적으로 자신을 숨기기 때문이다. 일반 안티바이러스(백신) 소프트웨어나 보안 스캐너는 커널 내부에서 벌어지는 모든 행동을 감시하기 어렵고, BPF도어는 마치 운영체제의 정상적인 패킷 필터링 동작처럼 가장하여 로그도 남기지 않고 통신한다  . 게다가 일단 침투에 성공하면, 추가적인 명령 수신 전까지는 시스템 자원을 거의 사용하지 않는 휴면 상태로 머무르므로 이상 행위 기반 탐지에도 잘 포착되지 않는다  . 보안 전문가들은 BPF도어를 “탐지자 입장에서 매우 까다로운 뒷문“이라고 평가하며, 해커가 시스템 권한을 얻은 뒤 **“나만 들어올 수 있게 ‘최고의 비밀번호’를 걸어두는 뒷문”**이라고 비유했다  . 실제로 BPF도어 악성코드는 소스코드가 공개된 오픈 소스로서 누구든지 변형해 사용할 수 있기 때문에, 공격 그룹마다 기능을 변형한 다양한 변종이 존재한다  . 이러한 변종은 정해진 패턴이 없고 계속 진화하므로 전통적인 패턴매칭 탐지는 더욱 어려워진다 .

이번 SKT 침해 사건을 계기로 드러났듯이, BPF도어의 위협 수준은 매우 심각하다. 중국계로 추정되는 해커 조직이 이미 중동·아시아의 여러 통신사, 물류, 교육 업체에 BPF도어를 활용한 공격을 수행한 바 있으며 , 미국 보안업체 트렌드마이크로는 최근 한국·홍콩·미얀마·말레이시아·이집트 등의 통신·금융·소매 기업에서 BPF도어 공격이 포착되었다고 경고했다 . 국내 보안기업 잉카인터넷에 따르면 BPF도어는 통신, 금융, 공공기관 등 핵심 인프라를 위협할 수 있는 수법으로서, 단순 신종 악성코드가 아니라 정교하게 장기간 은닉 가능한 공격이기에 각별한 주의가 필요하다 . 실제 잉카인터넷은 2022년과 2023년에 이미 BPF도어 분석 리포트를 공개하면서 국내외 업계에 위험성을 경고한 바 있었고, 이번 SKT 해킹에서도 동일한 수법이 확인되자 해당 위협 대응 기술이 재조명되기도 했다  . 요컨대 BPF도어는 **APT 공격자들이 애용하는 “해커들의 뒷문”**으로서, 탐지되지 않고 숨어있다가 특정 신호에만 반응하는 특성상 방어자 입장에서 가장 까다로운 유형의 사이버 위협 중 하나라고 볼 수 있다  .

3. SKT 및 관계 기관의 대응 현황

SKT와 정부 관계 기관들은 이번 사태에 대해 기술적·정책적 대응 조치를 신속히 시행하고 있다. 현재까지 밝혀진 주요 대응 현황은 다음과 같다:
• 초기 긴급조치: SKT는 해킹 정황 인지 직후 침해 시스템 격리 및 악성코드 제거를 즉각 실시했다 . 내부 망에 남아있을지 모를 다른 악성 요소를 제거하기 위해 전체 시스템 전수 조사를 진행 중이며, 과기정통부 비상대책반 및 KISA 전문가들의 지원 아래 디지털 포렌식 및 보안 점검을 속도를 내어 수행하고 있다  . 공격에 이용된 것으로 의심되는 서버들은 모두 분리되었고, 추가 유출 경로가 있었는지 원인 규명 작업이 진행 중이다. 조사 과정에서 드러나는 SKT의 보안 관리 취약점에 대해서는 정부가 시정 명령을 내릴 방침이며 , 필요한 경우 제도 개선도 검토하고 있다.
• 유심 보호 및 교체 조치: 고객 피해 예방을 위해 SKT는 4월 28일부터 유심 무료 교체 서비스를 시행하고 있다 . 전국 SK텔레콤 대리점과 온라인 채널을 통해 기존 유심을 새로운 유심으로 무상 교환해주고 있으며, 4월 29일까지 이틀간 이미 많은 가입자가 교체를 완료하거나 신청한 상태다. 다만 수요 폭증으로 일부 지역에서는 유심 재고 부족과 긴 대기시간 문제가 발생하여, SKT는 온라인 신청 후 택배배송을 병행하는 등 대안을 마련하고 있다  . 아울러 **“유심보호서비스”**를 모든 고객에게 무료 개방하여 적극적인 이용을 독려하고 있다 . 이 서비스에 가입하면 본인 단말 외 기기에서는 유심이 동작하지 않도록 네트워크에서 통신을 차단해주므로, 설령 유심 정보가 유출되었더라도 타 단말에 유심을 복제해 사용하는 심 스와핑을 원천 봉쇄할 수 있다  . 정부도 이 서비스에 가입만 해두어도 유심 복제폰 개통을 방지할 수 있다며 가입을 권고했다 . 만약 피해 의심 징후(예: 갑자기 통화불통 등)가 나타나면 SKT는 즉시 해당 회선을 일시 정지하고 고객 안내 조치를 취하도록 모니터링 체계를 강화했다 .
• 기술적 대응: SKT는 eSIM 전환과 유심 정보 포맷 변경 등의 기술적 해결책도 추진 중이다. 유심을 물리적으로 교체하지 않고도, 원격으로 IMSI 등 유심 내 인증정보를 재발급하는 기술을 개발하여 5월 중 도입을 목표로 하고 있다 . 이를 통해 수천만 명분의 유심을 새로 제조·배포하는 데 드는 시간과 비용을 줄이고 신속히 보안을 강화할 계획이다. 또한 SKT는 불법 유심 기변 시도나 이상 인증 트래픽에 대한 실시간 탐지 시스템을 가동하여, 해커가 유출된 정보로 통신망에 접속을 시도할 경우 즉각 차단하고 있다 . 이밖에 사내 모든 리눅스 서버에 대한 백신 설치와 최신 보안패치 적용 상태 점검을 실시하고, 침해사고 대응 프로세스를 전면 재검토하는 등 추가 보강책을 마련 중인 것으로 알려졌다.
• 정부 및 기관 대응: 과기정통부는 사건 직후 관계 부처 합동으로 비상 대응체계를 가동하고 상황을 예의주시하고 있다 . KISA는 SKT와 함께 합동조사단에 참여하여 기술 분석 및 피해 범위 파악을 지원하는 한편, 25일에 발표한 보안 공지를 통해 국내 기관·기업들에 사전 경고와 자체 점검 요청을 하였다  . 이 공지에는 이번 공격에 활용된 BPF도어 악성코드의 파일 해시와 C&C 서버 IP 등이 포함되어 있어, 타 시스템 관리자들이 이를 바탕으로 침입 흔적을 탐색하도록 했다  . 정부는 **“국민 휴대폰 불법 복제 가능성은 없다”**고 거듭 강조하며 과도한 혼란을 막는 한편, SKT와 타 통신사들의 보안 취약점 점검 결과를 취합해 통신망 전반의 위험도 평가를 시행하고 있다  . 개인정보보호위원회와 방송통신위원회 등은 SKT의 사고 대응 적정성을 조사하여 과실이 확인될 경우 과징금 부과 등 제재를 검토 중이다. (개인정보보호법에 따른 과징금은 관련 매출의 3% 이내이며, 2023년 법 개정으로 전년도 총매출의 3%까지로 강화되어 SKT의 경우 최대 약 5,300억 원에 달할 수 있다 .) 한편 경찰청 사이버수사 분야도 이번 공격의 해외 해커 조직 연계 가능성을 염두에 두고 국제 공조 수사 채널을 준비하고 있는 것으로 전해졌다. KISA와 국정원 등은 악성코드 분석 정보를 공유하며 추적 가능한 단서 수집에 협력하고 있다.
• 추가 지원 및 업계 조치: 보안 업계에서도 이번 사태 대응을 위해 발빠르게 움직였다. 국내 보안기업 잉카인터넷은 BPF도어 악성코드를 신속 탐지·치료할 수 있는 전용 백신 도구를 개발하여 4월 30일부터 무료 배포를 시작했다  . 이 백신은 BPF도어의 다양한 변종을 잡아내기 위해 100종 이상의 탐지 패턴을 내장하고, 실행 중인 프로세스의 고유 동작특성을 분석해 숨어있는 백도어까지 찾아낼 수 있도록 설계되었다고 한다 . 또한 다른 보안기업들도 통신사를 대상으로 긴급 취약점 진단 서비스 제공, 침해지표(IOC) 공유, 기술 자문 등을 지원하고 있다. SKT 외 다른 통신사들도 자체적으로 시스템 이상 여부를 점검하고 보안조치를 강화하는 계기가 되고 있으며, 금융권 등 유사 데이터베이스를 보유한 기관들도 이번 사례를 교훈 삼아 내부 보안 점검에 착수했다. 정부는 민간 주요 정보통신기반시설 전체로 보안경보를 발령하고, 이번 SKT 사고 분석 결과를 토대로 전반적인 침해 대응 태세를 재평가할 예정이다.

4. 피해 규모와 일반 사용자 영향

이번 해킹으로 유출된 정보의 범위는 SKT 가입자 대부분에 해당할 가능성이 제기되고 있다. SKT측은 아직 정확한 유출 인원 수를 확정하지는 않았으나, 앞서 국회 답변에서 **“전체 가입자 정보가 유출되었을 수 있다”**고 언급한 만큼 SKT 가입자 2,300만 명 안팎이 잠재적 피해 대상인 것으로 추정된다 . 합동조사단이 공식 확인한 유출 항목은 가입자 식별정보 4종과 내부 관리정보 21종 등 총 25종이다 . 4종의 유심 관련 정보에는 가입자 전화번호(MSISDN), 국제모바일가입자식별번호(IMSI), 가입자 식별키(인증키) 등 유심 복제에 악용될 수 있는 핵심 데이터들이 포함된다 . IMSI는 각 심카드에 할당된 고유번호로, 한국(450) 및 SKT(05)의 코드 뒤에 가입자 전화번호를 붙여 구성되는 15자리 번호다 . SKT HSS에는 이러한 IMSI와 전화번호 매핑 정보, 가입자 프로파일 등이 저장되어 있는데, 해커는 이 정보를 탈취한 것으로 보인다. 다행스럽게도 IMEI(단말기식별번호)는 유출되지 않아, 유심과 단말기를 1:1 대응시켜 불법 복제폰을 만드는 행위는 현재로선 어려운 상황이다 . 정부는 IMEI가 빠져 있다는 점을 들어 “이번 유출 정보만으로는 휴대폰 복제는 불가능“하다고 거듭 확인했다 .

직접적인 피해 사례는 아직까지 공식 보고되지 않았다. SKT와 정부는 “현재까지 유출된 정보가 부정 사용된 정황은 없다”고 밝혔다 . 하지만 개인정보 유출 사고인 만큼 심리적 피해와 불안감이 매우 크다. 특히 유심 정보는 그 자체로 이름이나 주민번호 같은 개인정보는 아니지만, 통신망에서 가입자를 식별하는 열쇠 역할을 하므로 2차 피해 우려가 제기된다 . 해커가 빼낸 IMSI 등을 이용해 마치 해당 가입자인 것처럼 통신망에 접속하는 스푸핑(spoofing) 공격이 가능하며, 이 경우 통화 내용이나 문자 메시지 도청, 위치 추적, 요금 부과 피해까지 발생할 수 있다고 전문가들은 경고한다  . 또한 휴대전화 기반의 본인인증(SMS 인증 등)이 무력화되어 금융앱 등에서 다른 사람의 계정에 접근하거나 자금을 탈취당하는 시나리오도 상정된다 . 심(SIM) 스와핑이 현실화되면 탈취한 IMSI를 공공장소에 설치된 심 복제기기로 다른 심카드에 복사하여 대포폰 개통 등에 악용할 소지도 있다 . 해커들은 심지어 이렇게 얻은 모바일 신분을 발판 삼아, 피해자의 회사 내부망으로 추가 침투하는 등 공격을 확대할 수도 있다 . 실제 2022년 대기업들을 해킹했던 Lapsus$ 그룹도 통신사 직원 계정 탈취와 SIM 스와핑을 통해 내부 접근권을 획득했었다 .

이러한 가능성 때문에 다수의 SKT 고객들이 선제적으로 유심을 교체하려고 나서면서 **“유심 대란”**이 벌어졌다  . 무상교체 첫날부터 SKT 대리점 앞에는 수십 명이 줄을 서서 개점 전부터 기다리는 진풍경이 연출되었다 . 온라인으로 교체 신청이 가능하지만 고령층 가입자 등은 익숙지 않아 직접 방문을 택하는 경우가 많았다  . 이에 일부 온라인 중고장터에는 새 유심을 구하지 못한 사람들을 노려 유심 칩에 웃돈을 붙여 판매하려는 글까지 등장했고, 터무니없는 가격을 부르는 등 상술 피해 우려도 나타났다 . 또한 “SKT를 상대로 집단소송을 준비하자”는 소비자 움직임까지 보도되는 등 분노한 일부 가입자들은 법적 대응을 검토하기 시작했다 .

SKT는 3개월 내 모든 교체 완료를 목표로 유심 물량 확보에 주력하고 있으며 , 앞서 언급한 eSIM 전환과 유심 정보 재발급(포맷) 방안을 병행하여 고객 불안을 해소할 계획이다  . eSIM은 물리적 칩이 아닌 내장형 디지털 심카드로서 원격 프로비저닝이 가능하므로, SKT는 희망자에 한해 eSIM으로의 무료 전환도 지원하고 있다 . 실제 eSIM을 새로 발급받으면 기존 유심과 동일한 효과(새 식별정보 부여)를 얻을 수 있다고 SKT는 설명했다 . 또한 유심 보호서비스를 예약 신청한 시점부터 발생하는 피해는 100% 보상해주겠다고 약속하여  , 혹시 모를 금전적 피해에 대비한 보증 장치를 마련했다. 정부도 통신사를 통해 수시 안내 문자 발송 등 고객 불안 해소와 피해 예방에 힘쓰고 있다. 다만 스마트폰이 아닌 태블릿PC나 차량용 임베디드 유심 등은 교체가 어려운 구조인 경우가 있어, 이러한 특수 단말에 대한 대책도 과제로 남아 있다 .

한편, 사건 이후 SKT를 사칭한 피싱 사기에도 주의가 필요하다. 예를 들어 “무료 유심 교체를 위해 본인 인증이 필요하다”며 가짜 웹사이트로 유도하는 스미싱 문자나, 유심 보호서비스 가입 링크를 가장한 악성 메시지가 포착되고 있다. SKT는 공식 안내 채널 외에는 절대 링크를 보내지 않는다며 고객들에게 각별한 주의를 당부했다. 이처럼 2차, 3차 피해 가능성을 완전히 배제할 수는 없는 만큼, 당분간 SKT 가입자들의 긴장 상태는 이어질 전망이다.

5. 향후 보안 위협 전망 및 대응 방안

이번 SKT 유심 해킹을 계기로 드러난 향후 보안 위협과 이에 대한 업계·정부 차원의 대응책을 살펴보면 다음과 같다:
• 통신 인프라에 대한 APT 위협 증대: 전문가들은 SKT 사례가 국내 통신 인프라가 APT 공격의 표적이 되고 있음을 보여준다고 지적한다  . 특히 SKT뿐만 아니라 다른 이통사인 KT, LG유플러스 등도 유사한 공격을 받았는지 확인해야 한다는 목소리가 크다 . 실제로 2024년 7월과 12월경 국내 통신사에서 이미 BPF도어 공격이 있었다는 보고도 있으며 , 글로벌 환경에서 통신·금융·공공 분야를 노린 은밀한 백도어 공격은 계속 증가 추세다. 중국계 해커 조직 “레드멘션(Red Menshen)” 등이 이러한 수법을 활용해왔다는 해외 보고가 있는 만큼 , 한국도 지정학적 위치상 북한·중국 해커들의 표적이 되기 쉬워 각별한 대비가 필요하다 .
• 신종 스텔스 공격 기법의 진화: BPF도어뿐만 아니라 룰 파일 백도어 등 새로운 보이지 않는 위협들도 대두되고 있다 . 예컨대 AI 코드 생성 도구의 취약점을 노려, 설정 파일에 눈에 안 보이는 특수문자를 심어 악성 코드를 슬쩍 끼워넣는 수법이 발견되었다고 한다 . 이는 겉으로 드러나지 않고 정상 동작에 섞여든다는 점에서 BPF도어와 유사한 은닉형 공격이다 . 해커들은 이처럼 유니코드의 제어 문자나 AI의 자연어 처리 허점까지 악용하여 공격 방법을 끊임없이 고도화하고 있다  . 향후에는 현재 탐지 기술로는 식별하기 힘든 제로데이 악성코드나 펌웨어 레벨 백도어 등이 중요한 기반시설을 노릴 가능성도 제기된다. 이에 따라 보안 업계는 **“보이지 않는 공격을 볼 수 있는 눈”**을 갖추는 것이 급선무라고 입을 모은다.
• 기업 차원의 보안 투자 및 대비 강화: 이번 사건은 대기업이라도 한 순간의 허점을 노린 공격에 뚫릴 수 있다는 경각심을 불러일으켰다. 전문가들은 “가치 있는 회사일수록 보안 투자를 아껴서는 안 된다“며 근본적인 보안 인식 개선을 주문하고 있다 . 세종대 박기웅 교수는 “모든 공격에는 보안 통제가 깨진 공통점이 있다”고 지적하며, SKT 해킹도 결국 공격자가 관리자 권한을 얻어 벌인 일인 만큼 권한 관리 강화, 내부 소프트웨어 취약점 지속 점검, 적극적인 모의해킹 및 침투 테스트 등을 통해 방어체계를 보강해야 한다고 강조했다 . 물론 공격 기법이 날로 진화해 완벽한 해결책은 없지만, 수비 측은 지켜야 할 수많은 요소 중 단 하나만 방심해도 뚫리는 환경이기에 가능한 모든 수단을 강구해야 한다는 현실을 환기했다 . 또 다른 전문가는 “SKT뿐 아니라 국내 기업 전반의 리눅스 서버 보안에 허점은 없는지 재점검하는 계기로 삼아야 한다”고 말한다. 많은 서버 관리자들이 그동안 윈도우 대비 리눅스 악성코드 위험을 간과한 측면이 있어, Linux 환경 전용 보안 솔루션 도입과 정기적 무결성 검사 등 대비책이 시급하다고 지적한다  .
• 고도화된 탐지·대응 기술 도입: 은밀한 백도어를 잡아내려면 기존 규칙 기반 보안장비 외에 AI와 행위 기반 탐지 기술 도입이 필요하다. 보안 전문가들은 **EDR(Endpoint Detection & Response)**과 XDR(eXtended Detection & Response) 등의 활용을 권고하고 있다 . 이는 단말과 서버에서 일어나는 미묘한 이상 행위를 추적하고, 네트워크 전반의 비정상 패턴을 통합적으로 분석해 위협을 찾아내는 기술이다. 예를 들어 Moon KW 석(한국정보공학기술사회 원장)은 업계에 **“내부 백도어 여부에 대한 전수검사”**를 제안하며, 전용 백신과 EDR/XDR로 숨은 악성코드를 찾아내는 작업이 선행되어야 한다고 언급했다  . 또한 염흥열 교수(한국CPO협의회장)는 “**네트워크 기반 탐지(NDR)**로 비정상적인 공격을 잡아내고, 방화벽 규칙 강화로 수상한 트래픽을 걸러내는 등 다층 방어가 필요하다”고 조언했다 . 앞으로는 기업들이 보안 관제 고도화와 위협 헌팅 전문인력 확보에 더 투자하여, 이러한 은밀한 공격 조짐을 사전에 포착할 수 있는 능력을 길러야 할 것이다.
• 국가 및 국제 공조 대응: 정부 차원에서는 이번 일을 계기로 국가 핵심기반시설 보안 점검을 강화하고, 통신 분야 사이버 위협에 대한 매뉴얼 재정비에 나설 것으로 보인다. 관계 부처들은 통신3사를 비롯한 주요 ICT 기업을 상대로 보안 감사를 진행하고, 발견된 취약점에 대해서는 신속히 개선토록 지도할 예정이다. 또한 해외 해커 조직에 대한 대응으로, 국제 공조 수사를 한층 강화하는 방안도 논의되고 있다. 실제 악성코드를 이용한 해킹 범죄는 국내에서 해마다 4천건 넘게 발생하지만 검거율은 20% 수준에 불과하며, 특히 해외 근거지 해커 조직 검거에는 국제 공조 강화가 필수라는 지적이 나온다 . 정부는 INTERPOL 등과 협력 채널을 가동하고, 사이버 공격 정보를 동맹국과 공유하는 **정보공유분석센터(ISAC)**의 통신 분야 역할을 확대할 가능성이 있다. 한편 법·제도적으로는 정보통신망법 등 관련 법규를 재검토하여 사고 신고 체계와 징벌적 벌칙을 정비하고, 기업들이 평소에 정보보호 투자를 늘리도록 유인책(예: 세액공제 확대 등)도 마련할 필요성이 대두되고 있다.

요약하면, 향후 유사한 보안 위협은 더욱 교묘하고 광범위하게 나타날 수 있기 때문에, 기업과 정부 모두 다층적이고 선제적인 대응이 요구된다. 통신업계를 비롯한 모든 주요 기간산업 분야는 이번 사태를 타산지석 삼아 **“나에게도 일어날 수 있다”**는 가정하에 방어 태세를 가다듬어야 할 것이다.

6. 전문가 의견 및 보안 업계 권고 사항

이번 SKT 유심 해킹 사건에 대해 정보보안 전문가들과 업계 관계자들은 다양한 평가와 조언을 내놓고 있다. 주요 의견을 정리하면 다음과 같다:
• “BPF도어는 해커들의 비밀 통로” – 순천향대 염흥열 명예교수는 BPF도어를 **“탐지하기 어려운 뒷문”**이라고 표현하며, 해커가 시스템 취약점을 악용해 침투한 뒤 다시 들어오려고 숨겨놓는 백도어라고 설명했다 . 익명을 요청한 한 보안전문 교수도 “BPF도어란 쉽게 말해 관리자 몰래 서버를 드나들 수 있는 비밀 통로”라며, 해커 입장에서 **“나만 편하게 오가려고 ‘열려라 참깨’ 같은 매직패스워드를 걸어둔 뒷문”**이라고 비유했다 . 이처럼 BPF도어의 은밀성에 대한 공통된 의견이 나오면서, **“숨은 해커를 잡아내는 것”**이 얼마나 어려운 일인지 사례로 확인되었다는 평가다.
• “관리자 권한을 내줬다는 게 문제” – 보안 전문가들은 어떤 형태의 공격이든 결국엔 시스템의 보안통제가 무너졌다는 증거라고 강조한다. 세종대 박기웅 교수는 “BPF도어 공격 또한 공격자가 일단 관리자 권한을 얻어서 벌어진 일”이라며, 관리자 계정 탈취나 권한상승을 막는 조치의 중요성을 역설했다 . 그는 기업들이 시스템 권한을 엄격히 관리하고, 내부 소프트웨어의 취약점을 주기적으로 점검하며, 모의해킹을 통해 허점을 찾아내 보완하는 작업을 지속해야 한다고 조언했다 . 완벽한 수비는 어렵지만 **“100만 개 중 1개만 뚫려도 당하는 게 현실”**이므로, 잠재 공격 경로를 하나하나 없애는 수밖에 없다는 냉혹한 현실도 지적했다 .
• “다른 통신사도 안전한가?” – 고려대 이희조 교수는 SKT에 국한하지 말고 KT나 LG유플러스 등 타 통신사도 비슷한 공격을 받지 않았는지 조사해야 한다고 말했다 . 그는 “해커가 BPF도어를 설치했다는 것 자체보다, 어떤 경로로 들어와 설치했는지 그리고 이후 무슨 정보를 빼냈는지를 밝혀내는 것이 더 중요하다”고 강조했다 . 만약 이번에 SKT만 겪은 문제가 아니라면 업계 전반의 보안 수준 제고가 시급하며, 은밀히 진행되는 공격 캠페인 여부까지 염두에 둬야 한다는 것이다. 따라서 전문가들은 **“SKT 해킹을 일회성 조사로 끝내선 안 된다”**며, 다른 사업자들에 대한 선제적 점검과 정보 공유를 통해 동종 업계 전체의 보안 수준을 끌어올릴 것을 권고하고 있다.
• “리눅스 서버 보안, 남의 일이 아니다” – 잉카인터넷 관계자는 “BPF도어는 장기간 은닉이 가능한 정교한 백도어 수법으로 통신, 금융, 공공 등 핵심 인프라를 위협할 수 있다”며, **“이번 사고를 계기로 리눅스 기반 시스템 보안 강화 인식이 시급”**하다고 강조했다 . 많은 기업들이 오랫동안 서버 측면에서 리눅스는 안전하다는 막연한 인식이 있었으나, 이번에 국내 최대 통신사의 리눅스 서버가 뚫린 것을 계기로 인식을 바꿔야 한다는 지적이다. 전문가들은 리눅스 환경에 특화된 보안 솔루션 도입과 함께, 운영체제 및 소프트웨어의 주기적 패치 관리, 서버 구성요소에 대한 무결성 모니터링 등을 필수 과제로 권고한다. 또한 SSH 접근 관리, 포트/IP 기반 접근통제 설정 재검토 등 기본 보안 수칙이라도 빈틈없이 적용되어 있는지 돌아봐야 한다고 말한다.
• “이상 트래픽을 놓치지 말아야” – 보안 업계 전문가들은 네트워크 이상행위 탐지의 중요성을 역설한다. 염흥열 교수는 비정상적인 통신을 잡아내는 NDR(Network Detection & Response) 솔루션 활용과, 방화벽에서 평소 볼일 없는 포트/프로토콜 통신 차단 규칙 등을 통해 숨은 통신을 색출해야 한다고 말했다 . 예를 들어 BPF도어의 경우 평소 안 쓰는 포트를 안 쓰는 방식으로 통신하므로, 평소 트래픽 패턴과 다른 이질적인 흐름을 파악할 수 있는 행위 기반 탐지 체계가 있다면 도움이 될 것이다. 더불어 SIEM(Security Information and Event Management) 기반의 상관관계 분석으로 서버 시스템 로그와 네트워크 로그를 종합하면, 개별적으로는 정상으로 보일지라도 종합하면 수상한 이벤트 연계가 드러날 수도 있다고 제언한다. 결론적으로 **“이상 신호를 읽어내는 눈을 길러야 한다”**는 것이 업계 공통된 조언이다.
• “보안 인력·예산 확보가 관건” – 보안 사고 대응에서 사람과 투자의 중요성도 거듭 언급된다. 염흥열 교수는 “원인 조사 결과에 따라 미흡한 점을 보완하고, 특별히 보안 제품이나 서비스, 전담 인력을 늘릴 필요가 있다”고 조언했다 . 기업 내 **CISO(최고정보보호책임자)**의 역할과 권한을 강화하고, 보안 예산을 아끼지 말아야 한다는 것이다. 특히 통신사와 같은 기간망 운영 기업은 국가안보 및 국민생활과 직결된 정보를 다루므로, 경영진이 보안을 비용이 아닌 투자로 인식하고 장기적인 계획하에 인력과 자원을 확보해야 한다고 전문가들은 입을 모은다. 실제 SKT 해킹 이후 증권시장에서는 보안 솔루션 관련주들이 일제히 급등하며 기업들의 보안투자 확대 기대감을 반영하기도 했다 .
• 사용자 대상 조언: 보안 전문가들은 일반 사용자들도 자신의 정보 보호를 위해 적극적인 조치를 취할 것을 권한다. 홍동철 엠시큐어 대표는 “피해가 의심되면 바로 통신사에 신고하거나 문의해야 한다”며, 스파이웨어 감시 앱 등 보안 프로그램으로 추가 정보유출을 막아야 한다고 강조했다 . 또한 통화 품질 이상, 문자 수신 불능 등 평소와 다른 증상이 느껴진다면 즉시 통신사에 점검을 요청하고, 휴대폰에 저장된 민감한 정보(예: 메모장 비밀번호, 인증서 등)를 재정비하는 것이 좋다. 금융 앱 사용자는 본인 명의 휴대폰 번호로만 인증되도록 설정하고, 조금이라도 의심스러운 로그인 시도가 감지되면 계정 비밀번호를 변경하는 등 기민하게 대응해야 한다. 무엇보다도 SKT의 유심 보호서비스와 같은 선제적 보안 서비스에 가입해두면 심 복제 위험을 크게 낮출 수 있으므로, 전문가들은 “조금 번거롭더라도 통신사의 보안 서비스를 활용하는 것이 바람직하다”고 권고한다  .
• 법률적 평가: 법조계에서는 SKT의 대응이 **“비용 적게 들여서 사태를 막으려 한다”**는 지적과 함께, 피해 고객들에 대한 충분한 구제책을 마련해야 한다는 목소리도 있다  . 아직 정보 유출로 인한 실질 피해가 드러나지 않았더라도, 개인정보 유출 자체로 정신적 피해를 입었으므로 집단소송 가능성이 있고, 향후 과징금 부과 등으로 SKT에 막대한 재정적 타격이 예상된다  . 결국 기업으로서도 보안을 소홀히 하면 평판 저하와 금전 손실로 이어진다는 교훈을 얻은 만큼, 이번 일을 계기로 경영진 차원에서 정보보호 컴플라이언스를 재점검해야 한다는 것이 전문가들의 공통된 의견이다.

정리하면, SKT 유심칩 해킹 사건은 국내 통신 분야에서 전례 없는 규모의 사이버 침해 사례로 기록되었다. 기술적으로는 BPF도어라는 첨단 백도어의 위협을 일깨워주었고, 관리적으로는 기업의 보안 의식과 대응 체계를 돌아보게 만들었다. 다행히도 현재까지 치명적인 2차 피해는 보고되지 않았지만, **“보이지 않는 해커”**와의 싸움은 이제 시작이라는 평가다. 전문가들은 기업·정부·이용자 모두의 각성과 협력을 강조하면서, 이번 사태를 한국 사이버 보안 수준을 한 단계 격상시키는 전환점으로 삼아야 한다고 입을 모은다. 앞으로 지속적인 추적 조사로 공격의 전모를 규명하고, 드러난 약점들을 보완하여 보다 안전한 통신망 환경을 구축해나가는 것이 과제다.

참고 자료: 본 보고서에서는 한국경제, ZDNet Korea, 보안뉴스, 파이낸셜뉴스, 연합뉴스 등 언론 보도와 KISA 보안공지 내용을 인용하였으며, 관련 기술 해설은 보안 전문가들의 인터뷰와 업계 보고서를 참조하였다. 모든 인용 출처는 각주에 명기하였다.    등