SKT 유심 해킹 사태 — SIM 스와핑이 내 돈을 털어가는 과정

2025년 4월, “SKT 유심 해킹”이라는 단어가 뉴스를 도배했다. 2,300만 명의 유심 정보가 유출됐다는 이야기에, 대리점 앞에 유심 교체 줄이 늘어섰다.

그런데 정작 “유심 정보가 털리면 뭐가 어떻게 되는 건데?”라는 질문에 명확하게 답하는 기사는 거의 없었다. 통신사가 “유심보호서비스에 가입하세요”라고 하니까 일단 가입은 했는데, 그게 뭘 막아주는 건지도 잘 모르겠고.

공포만 퍼뜨리고 구조는 설명 안 하는 건 무책임하다. 하나씩 뜯어보겠다.

SKT에서 정확히 뭐가 털렸나?

2025년 4월 18일 새벽, SKT의 HSS(Home Subscriber Server — 가입자 인증 정보를 관리하는 핵심 서버) 3대가 뚫렸다. 공격에 사용된 건 BPFDoor라는 리눅스 은닉형 악성코드로, 민관합동조사단 발표에 따르면 2021년 8월 최초 침투 이후 약 4년간 잠복해 있었다.

유출된 정보는 9.82GB, IMSI 기준 2,696만 건이다. 구체적으로는 이렇다.

• 전화번호 — 내 번호
• IMSI(International Mobile Subscriber Identity) — 유심에 저장된 가입자 고유 식별번호. 통신망에서 “이 사람이 누구인지” 구별하는 데 쓰임
• Ki / OPc(인증키) — 유심이 통신망에 접속할 때 “진짜 이 유심 맞는지” 확인하는 암호화 키. 이게 핵심

쉽게 말하면, 통신사 금고에 보관된 유심의 신분증과 비밀번호가 통째로 복사된 거다.

SIM 스와핑 — 내 번호가 남의 폰에서 작동하는 순간

유심 정보(IMSI + Ki)가 있으면, 공격자는 빈 유심에 그 값을 써넣어 복제 유심을 만들 수 있다. 이 복제 유심을 공기계에 꽂으면, 통신망은 그걸 내 폰으로 인식한다.

이게 SIM 스와핑(SIM Swapping)이다. 공격 체인을 단계별로 보겠다.

1단계: 유심 복제 유출된 IMSI와 Ki 값을 빈 유심 카드에 기록한다. 장비와 기술적 지식이 필요하지만, 암시장에서 거래되는 수준의 난이도다.

2단계: 네트워크 가로채기 복제 유심을 공기계에 꽂고 전원을 켠다. 통신망에 두 개의 유심이 같은 IMSI로 접속하면, 나중에 접속한 쪽이 “기기 변경”으로 처리된다. 내 원래 폰은 통신이 끊긴다 — 전화도, 문자도, 데이터도 안 된다.

3단계: SMS 인증 탈취 공격자가 내 번호를 쥐고 있으니, 은행이나 거래소에서 보내는 SMS 인증번호가 공격자 폰으로 간다.

4단계: 계좌 접근 비밀번호 찾기 → SMS 인증 → 비밀번호 재설정 → 로그인 → 이체. 이 흐름이 한 시간 안에 끝날 수 있다. 실제 한국에서 SIM 스와핑으로 가상자산 2억 8,000만 원이 탈취된 사례가 수사된 바 있다.

공격자가 새벽 시간대를 노리는 이유가 있다. 피해자가 자고 있으면 폰이 먹통이 된 걸 바로 알아차리지 못한다.

이번 SKT 사태에서 실제 피해가 발생했나?

민관합동조사단과 SKT 측 발표를 종합하면, 2025년 5월 기준 복제 유심을 통한 금전 피해는 확인되지 않았다.

이유가 있다.

첫째, IMEI(단말기 고유번호) 29만 건이 포함된 파일이 해킹 서버에서 발견됐지만, SKT는 외부 유출이 아닌 임시 저장 파일이라는 입장이다. 유심 복제만으로는 특정 단말기를 완벽히 흉내 내기 어렵고, 통신사의 FDS(이상거래탐지시스템)에 걸릴 확률이 높다.

둘째, SKT가 4월 28일부터 전 고객 대상 무료 유심 교체를 시작했고, 유심보호서비스를 5월 8일부로 자동 가입 처리했다. 유심보호서비스는 단말기와 유심을 1:1로 묶어서, 복제 유심이 다른 기기에서 접속하면 차단한다.

“피해가 없었으니 괜찮다”는 결론은 아니다. 2,696만 건의 인증키가 유출된 건 사실이고, 유심보호서비스나 유심 교체를 안 한 사람은 여전히 이론적 위험 안에 있다.

위험도 — 내 상황은 어디에 해당하나?

🟢 일반 사용자 (유심보호서비스 가입됨 or 유심 교체 완료)

복제 유심이 네트워크에 접속하는 걸 통신사가 차단한다. SKT 가입자라면 유심보호서비스 자동 가입 여부를 T world에서 확인하라. 되어 있으면, 이번 사태에 한해서는 추가 조치 없어도 된다.

🟡 유심보호서비스 미가입 + 유심 미교체

이론적으로 복제 유심 공격에 노출된 상태다. 지금 당장 유심보호서비스에 가입하거나 유심을 교체하라. 둘 다 무료다.

🔴 금융 자산이 SMS 인증에 의존하는 경우

SIM 스와핑은 SKT 사태와 무관하게 발생할 수 있는 공격이다. 은행, 가상자산 거래소, 주요 이메일 계정의 인증 방식이 SMS뿐이라면 — 이번 사태가 아니더라도 위험하다. 아래 방어법을 보라.

지금 당장 할 수 있는 방어 — 3단계

1단계: 유심보호서비스 확인 (5분)

SKT 가입자라면 T world 유심보호서비스 페이지에서 가입 여부를 확인한다. 2025년 5월 8일 이후 대부분 자동 가입됐지만, 로밍 등의 이유로 누락됐을 수 있다. 미가입 상태면 즉시 가입하라. 무료다.

2단계: SMS 인증 의존도 줄이기 (30분)

은행, 가상자산 거래소, 이메일(구글/네이버), 카카오 — 이 네 곳의 2단계 인증(2FA) 설정을 확인한다. SMS 인증 대신 TOTP 앱(Google Authenticator, Ente Auth 등)이나 생체인증으로 전환할 수 있는 곳은 전환하라. SMS 인증은 유심이 복제되면 같이 뚫린다. TOTP 앱은 내 기기에서만 코드가 생성되니까 유심과 무관하다.

3단계: 새벽 시간대 알림 설정 (10분)

SIM 스와핑 공격은 피해자가 자는 새벽에 실행된다. 은행 앱에서 이체 알림을 푸시가 아닌 이메일로도 받도록 설정하라. 폰이 먹통이 되더라도 이메일 알림은 다른 기기에서 확인할 수 있다. 또한 통신사 앱에서 “기기 변경 알림”을 켜두면, 누군가 내 번호로 다른 기기에 접속했을 때 감지할 수 있다.

SIM 스와핑은 SKT만의 문제가 아니다

이번 사태가 특수한 건 서버 해킹으로 2,696만 건이 한꺼번에 유출됐다는 점이다. 하지만 SIM 스와핑 자체는 통신사에 관계없이 존재하는 공격이다.

일반적인 SIM 스와핑은 해킹이 아니라 사회공학으로 이루어진다. 공격자가 통신사 고객센터에 전화해서 “폰을 잃어버렸다, 새 유심으로 번호를 옮겨달라”고 속이는 거다. 본인 확인 절차가 허술하면 넘어간다.

2024년 영국에서 SIM 스와핑 신고가 전년 대비 1,055% 폭증했고, 미국 FBI 기준 피해자당 평균 손실액은 약 2만 6천 달러(약 3,500만 원)다. 한국에서도 2021년 이후 40건 이상의 피해 의심 사례가 수사됐다.

결국, “내 전화번호 = 내 신원”인 시스템이 문제의 본질이다. 은행, 거래소, 이메일 — 전부 SMS로 본인을 확인한다. 그 SMS가 탈취 가능하다는 건 이미 수년째 알려진 사실인데, 편의성 때문에 바뀌지 않고 있다.

걱정의 적정선은 어디인가

유심 정보가 유출됐다고 당장 내 계좌가 털리는 건 아니다. 유심보호서비스가 작동 중이고, FDS가 이상거래를 감시하고 있고, 실제 복제 유심 피해는 아직 확인되지 않았다.

“유심 털렸으니 끝장이다” 식의 공포는 현실과 다르다. 이 글에서 설명한 방어 3단계를 했다면, 일반 사용자 수준에서는 충분하다.

하지만 이번 사태가 드러낸 진짜 문제는 다른 데 있다. 2,300만 명의 통신 인증 정보를 보관하는 서버가 3년간 악성코드에 감염된 채 운영됐다는 거다. 개인이 아무리 조심해도, 인프라가 뚫리면 할 수 있는 게 없다.

그래서 근본적인 방어는 “유심 교체”가 아니라 SMS 인증에 대한 의존을 줄이는 것이다. 유심은 또 바꿀 수 있지만, 인증 구조를 바꾸는 건 지금 해야 한다.

정리

SKT HSS 서버가 BPFDoor 악성코드에 뚫려 2,696만 건의 유심 인증 정보(IMSI, Ki, OPc)가 유출됐다.

이 정보로 유심을 복제하면 SIM 스와핑 공격이 가능하다. 내 번호가 공격자 폰에서 작동하고, SMS 인증이 탈취되고, 은행 계좌까지 이어지는 체인이다.

현재까지 실제 금전 피해는 확인되지 않았고, 유심보호서비스와 유심 교체로 복제 공격은 차단된다. 하지만 SMS 인증 자체가 구조적 약점이라는 건 이번 사태 전에도, 후에도 변하지 않는다.

유심보호서비스 확인 → SMS 인증 전환 → 알림 설정. 이 세 가지가 지금 할 수 있는 전부이고, 현실적으로 필요한 전부다.