SKT 유심 해킹, LGU+ IMSI 설계 결함, KT 해킹 은폐 — 연쇄 보안 사고로 드러난 통신 인프라의 구조적 허점과, 일반 사용자가 지금 당장 해야 할 7가지 대응법
2025년 4월, SK텔레콤의 HSS(홈가입자서버)가 BPFDoor 악성코드에 뚫리면서 최대 2,695만 건의 유심 인증 정보가 유출되었다. 같은 해 KT에서는 2022년부터 침투해 있던 악성코드가 뒤늦게 발견되었고, 1년 넘게 해킹 사실을 은폐한 정황까지 드러났다. LG유플러스는 2023년 약 29만 명 고객정보 유출에 이어, 2025년에는 외주 보안업체를 통한 내부 서버 침해가 확인되었으나 핵심 서버의 OS 재설치와 폐기로 전체 피해 규모조차 파악이 불가능한 상태다. 여기에 2011년부터 IMSI에 실제 전화번호를 매핑해 온 설계 결함까지 드러나면서, 대한민국 통신 3사의 보안 체계 전반이 도마 위에 올랐다.
이 글에서는 통신 인프라 엔지니어의 시각에서 유심 해킹이 실제로 어떤 메커니즘으로 작동하는지, 유출된 정보가 다크웹에서 어떻게 돈이 되는지, 그리고 일반 사용자가 현실적으로 할 수 있는 방어 조치는 무엇인지를 정리한다.
유심(USIM) 안에 뭐가 들어있길래 이렇게 난리인가
유심 칩 하나에는 생각보다 많은 정보가 들어 있다. 이동통신 네트워크가 “이 사람이 정당한 가입자인지”를 판별하는 데 필요한 핵심 식별값들이 모두 이 작은 칩 안에 저장되어 있기 때문이다.
IMSI(International Mobile Subscriber Identity) — 전 세계에서 가입자를 유일하게 식별하는 15자리 숫자다. 국가코드(MCC 3자리) + 사업자코드(MNC 2자리) + 가입자식별번호(MSIN 10자리)로 구성된다. 단말기가 기지국에 처음 접속할 때, 이 값이 무선 구간에서 평문으로 전송될 수 있다는 점이 핵심 취약점이다.
Ki(Authentication Key) — 유심과 통신사 서버(HSS/UDM) 양쪽에만 저장되는 128비트 비밀키다. 이 값이 유출되면 유심 자체를 복제할 수 있게 된다. SKT 사고에서 바로 이 Ki 값이 유출된 것으로 확인되었기 때문에 사태가 심각했다.
ICCID(IC Card Identifier) — 유심 카드 자체의 고유 일련번호다. Ki와 조합되면 유심 복제의 재료가 완성된다.
정리하면 이렇다. IMSI는 “나는 누구인가”를 네트워크에 알려주는 신분증이고, Ki는 “진짜 내가 맞다”를 증명하는 비밀 도장이다. 둘 다 뚫리면 공격자는 사실상 내 번호를 가진 또 다른 ‘나’가 될 수 있다.
SKT 사고와 LGU+ 문제 — 성격이 다른 두 가지 위기
SKT: 인증키(Ki)까지 뚫린 직접적 위협
2025년 4월 18일, SK텔레콤 네트워크인프라센터에서 트래픽 이상 징후가 감지되었다. 조사 결과, HSS 서버에 BPFDoor 계열 악성코드 24종과 웹셸 1종이 심어져 있었다. BPFDoor는 리눅스 커널의 BPF(Berkeley Packet Filter) 훅을 이용해 패킷 흔적을 남기지 않는 스텔스형 백도어로, 기존 패턴 기반 IDS/NDR로는 탐지가 극히 어렵다.
유출 규모는 9.82GB, IMSI 기준 2,695만 7,749건이다. 결정적으로 IMSI뿐 아니라 유심 인증키(Ki)까지 유출된 것으로 확인되면서, 유심 복제를 통한 SIM Swapping 공격이 이론적으로 가능한 상황이 되었다. SKT가 전 고객 유심 무상 교체라는 전례 없는 조치에 나선 이유다.
LGU+: 해킹 피해 + IMSI 설계 결함이라는 이중 문제
LGU+의 상황은 성격이 다른 두 가지 이슈가 겹쳐 있어 더 복잡하다.
첫째, 반복되는 침해사고와 불투명한 대응. LGU+는 2023년 약 29만 명의 고객 인증 DB가 유출된 전력이 있다. 당시 웹 관리자 계정의 초기 암호가 그대로 방치되어 있었고, 68개 이상의 BGP 라우터가 외부에 노출되는 등 기초적인 보안 위생이 결여되어 있었다.
2025년에는 미국 보안 전문지 Phrack을 통해 해커그룹 김수키가 LGU+ 외주 보안업체 시큐어키를 해킹하여 내부 통합 서버 접근제어 솔루션(APPM)에 침투, 서버 8,938대의 정보와 계정 42,526개, 직원 167명의 실명 정보를 탈취했다는 보도가 나왔다. 2025년 12월 민관합동조사단의 발표에 따르면, APPM과 연결된 서버 목록·계정정보·임직원 성명 등이 실제로 유출된 것이 확인되었다.
가장 논란이 된 부분은, 조사 과정에서 핵심 서버들의 OS가 재설치되거나 서버 자체가 폐기되어 있어 전체 해킹 규모를 검증하는 것이 불가능했다는 점이다. 조사단은 이를 부적절한 조치로 판단하고 위계에 의한 공무집행방해로 경찰에 수사를 의뢰했다. 결과적으로 해커가 정확히 어디까지 침투했고 어떤 데이터를 얼마나 빼갔는지는 현재까지도 불명인 상태다.
둘째, 10년 넘게 유지된 IMSI 설계 결함. 2025년 SKT 사태 이후 LGU+가 자체 보안 점검을 진행하는 과정에서, 2011년 LTE 도입 당시부터 약 1,120만 가입자의 IMSI 생성 시 실제 휴대전화 번호 일부를 반영해 왔다는 사실이 드러났다. SK텔레콤이나 KT가 난수 기반 또는 제조사 일련번호 방식을 채택해 온 것과 대조적이다.
이 설계 방식의 문제점은, 공격자가 IMSI 캐처(가짜 기지국)로 무선 구간의 IMSI를 수집하면, 별도의 DB 해킹 없이도 바로 전화번호를 역산출할 수 있다는 것이다. 위치 추적과 신원 특정이 동시에 가능해지는 구조적 취약점이다.
LGU+ 측은 “IMSI 체계는 국제 표준에 부합하며, 인증 시 암호화된 Ki 값을 추가 확인하기 때문에 보안사고 가능성은 매우 낮다”는 입장이지만, 2026년 4월 13일부터 전 고객 유심 무상 교체와 IMSI 난수화 적용에 나서게 되었다.
| 비교 항목 | SKT 사고 (2025.04) | LGU+ 이슈 (2023~2026) |
|---|---|---|
| 핵심 사건 | HSS 서버 BPFDoor 악성코드 침투 | ① 2023년 29만 명 DB 유출 ② 2025년 APPM 서버 침해 ③ IMSI 전화번호 매핑 설계 결함 |
| 유출 확인 범위 | IMSI 2,695만 건 + Ki(인증키) + ICCID | APPM 서버 목록·계정 42,526개·직원 167명 (전체 규모 불명) |
| 유심 복제 위험 | Ki 유출로 이론적 가능 | Ki 유출 미확인. 대신 IMSI만으로 전화번호 즉시 특정 가능 |
| 유심 교체 원인 | 유출된 Ki값 무력화 | IMSI 난수화 미적용 설계 결함 시정 |
| 추가 논란 | 신고 24시간 규정 위반 의혹 | 서버 OS 재설치·폐기 → 증거인멸 의혹, 경찰 수사 의뢰 |
유출된 정보가 실제로 돈이 되는 과정 — 다크웹과 SIM Farm
통신사들은 침해사고 발표 때마다 “유출된 정보만으로는 즉각적인 금전 피해 가능성이 낮다”고 설명한다. 틀린 말은 아니지만, 사이버 범죄 생태계의 현실과는 거리가 있다.
다크웹 데이터 거래 시장의 실태
보안기업 S2W의 분석에 따르면, 최근 3년간 다크웹 내 금융 타깃 위협 포스팅과 데이터 거래가 연평균 약 85%씩 증가하고 있다. 브리치포럼(BreachForums)이나 텔레그램 비공개 해커 채널에서는 통신사에서 유출된 가입자 데이터가 상품으로 거래된다.
공격자 입장에서 통신사 유출 데이터의 가치는 단편적인 정보 하나에 있는 게 아니라, 여러 정보의 결합에 있다. 이름 + 전화번호 + 주소 + 서비스 이용 이력이 한 세트로 묶여 있으면, 은행이나 공공기관을 사칭한 맞춤형 스피어 피싱의 성공률이 기하급수적으로 올라간다.
Europol이 적발한 SIM Farm — 산업화된 범죄 인프라
2025년 10월, 유럽 경찰기구 유로폴(Europol)이 ‘Operation SIMCARTEL’이라는 작전명으로 대규모 SIM Farm 네트워크를 적발했다. SIM Box 장비 1,200대에 활성 SIM 카드 4만 장을 운용하면서, 80개국 이상의 전화번호를 범죄자에게 공급하고, 4,900만 개 이상의 가짜 온라인 계정 생성을 가능하게 한 서비스형 사이버범죄(CaaS) 플랫폼이었다.
이 조직이 제공한 인프라는 피싱·스미싱 대량 발송, 가짜 투자 플랫폼 유인, WhatsApp 자녀 사칭 송금 사기 등에 활용되었다. 7명이 체포되었고, 약 50만 유로의 은행 자산과 26만 유로의 암호화폐가 동결되었다.
여기서 핵심은, 이런 SIM Farm 운영 조직에게 한국 통신사에서 유출된 가입자 식별 데이터가 최고급 원재료가 된다는 점이다. 실제 유효한 전화번호와 개인정보가 있어야 SIM Swapping이든 표적형 피싱이든 성공률이 올라가기 때문이다.
SIM Swapping — 가장 직접적이고 파괴적인 위협
SIM Swapping은 고도의 해킹 기술이 아니라 사회공학적 기법에 가깝다. 공격자가 유출된 개인정보(이름, 생년월일, 전화번호, 단말기 정보)를 무기로 삼아 통신사 대리점 직원이나 고객센터 상담원을 속여, 피해자의 전화번호를 공격자의 새 유심으로 이전시키는 공격이다.
성공하면 어떤 일이 벌어지는가? 피해자의 모든 SMS가 공격자의 대포폰으로 수신된다. 은행 계좌 이체 인증, 암호화폐 거래소 로그인, 포털 비밀번호 재설정 — 이 모든 것에 사용되는 SMS 기반 2단계 인증(2FA) 코드를 공격자가 직접 받게 된다. 미국의 T-Mobile은 SIM Swapping 방어 미흡으로 약 3,300만 달러(한화 약 450억 원)의 집단소송 합의금을 배상했다.
통신사가 내놓은 대책, 어디까지 믿어야 하나
유심 교체 — 필수지만 만능은 아니다
SKT와 LGU+ 모두 전 고객 유심 무상 교체를 시행하고 있다(KT도 순차 진행 중). 다만 교체의 목적이 다르다는 점을 이해해야 한다.
SKT의 유심 교체는 유출된 Ki(인증키)를 무력화하기 위한 것이다. 새 유심에 새로운 Ki가 발급되면 기존에 탈취된 인증키로는 유심 복제가 불가능해진다.
LGU+의 유심 교체는 IMSI 난수화 미적용이라는 설계 결함을 시정하기 위한 것이다. 새 유심은 가입자코드 영역이 난수화된 새로운 IMSI 체계가 적용된다.
두 경우 모두, 이미 유출된 과거 데이터(이름, 전화번호, 주소 등)는 유심을 바꾼다고 해서 회수되지 않는다. 공격자들은 기존 데이터를 아카이빙해두고 향후 수년간 피싱과 사회공학 공격의 기초 자료로 활용할 수 있다.
5G SA의 SUCI 암호화 — 기술적으로는 진보, 현실적으로는 구멍
LGU+가 도입하겠다고 발표한 5G SA(Standalone) 환경의 SUCI(Subscription Concealed Identifier) 기술은, 단말기가 네트워크에 접속할 때 IMSI를 통신사 공개키로 암호화해서 전송하는 방식이다. 이론적으로 완벽히 구현되면, 무선 구간에서 IMSI 스니핑이 불가능해진다.
문제는 현실이다. 전국 모든 지역이 5G SA로 100% 커버되지 않는 한, 단말기는 음영지역에서 LTE로 폴백(Fallback)된다. 지능적인 공격자는 강력한 전파 방해(Jamming) 신호로 단말기를 고의로 LTE나 3G로 강등시킬 수 있고, 그 순간 SUCI 암호화는 무력화된다. 5G SA 전국망 완성까지는 상당한 시간이 필요하므로, 이 기술만으로 당장의 위협이 사라진다고 보기는 어렵다.
일반 사용자가 지금 당장 해야 할 7가지 대응
기술적 배경을 다 이해하지 못해도 괜찮다. 아래 7가지를 실행하면 현실적으로 가능한 방어벽의 대부분을 세울 수 있다.
1. 유심 무상 교체 — 즉시 신청
자신이 SKT, KT, 또는 LGU+ 가입자라면, 통신사 직영점을 방문하거나 온라인 예약을 통해 유심 교체를 진행해야 한다. SKT는 이미 교체를 완료했고, KT는 순차 진행 중이며, LGU+는 2026년 4월 13일부터 시작한다. 새 유심에는 난수화된 IMSI와 새로운 인증키가 적용되므로, 기존 유출 데이터로 인한 유심 복제 위험이 차단된다.
2. SMS 기반 2FA를 앱 기반 OTP로 전환
SIM Swapping 공격의 최종 목표가 SMS 인증 코드 탈취이므로, 인증 수단 자체를 SMS에서 떼어내는 것이 가장 효과적인 방어다.
- 은행·증권·암호화폐 거래소 — 해당 앱의 보안 설정에서 OTP 인증 또는 생체인증으로 전환
- 카카오계정·네이버·구글 — Google Authenticator, Microsoft Authenticator 같은 TOTP 앱 등록
- 가능하다면 — FIDO2 하드웨어 보안키(YubiKey 등) 사용이 가장 안전
3. 명의도용방지 서비스 가입
PASS 앱 또는 **엠세이퍼(msafer.or.kr)**에서 본인 명의로 신규 회선 개통이 불가능하도록 잠금을 걸어둔다. 공격자가 대리점에서 사회공학 기법으로 유심을 재발급받는 경로를 원천 차단하는 조치다.
4. 금융 이체 한도 최소화
SIM Swapping이 성공하더라도 피해 규모를 물리적으로 제한할 수 있다.
- 모바일뱅킹 1회 이체 한도와 1일 이체 한도를 평소 필요한 최소 금액(예: 50만 원)으로 설정
- 큰 금액 이체가 필요할 때만 은행 앱에서 임시 상향
- 주요 금융 앱에 지문·안면인식 등 생체인증을 1차 인증으로 활성화
5. 번호도용문자차단 서비스 가입
각 통신사에서 무료로 제공하는 번호도용문자차단 서비스에 가입한다. 내 번호를 사칭해서 스미싱 문자를 발송하는 것을 방지해준다.
6. “나를 정확히 아는 연락”을 의심하는 습관
이미 유출된 개인정보가 장기간 활용되므로, 앞으로 수년간 맞춤형 피싱이 지속될 수 있다. 핵심 원칙은 하나다.
아무리 정확한 내 정보를 언급하며 접근하더라도, 발신자가 요구하는 링크 클릭이나 정보 제공에 바로 응하지 말 것. 해당 기관의 공식 대표번호로 직접 걸어서 확인한다.
통신사·은행·경찰·공공기관을 사칭하면서 이름과 주소를 정확히 짚어 접근하는 전화나 문자가 온다면, 그것은 높은 확률로 유출 데이터를 활용한 스피어 피싱이다.
7. 개인정보 유출 여부 주기적 모니터링
- 개인정보보호위원회 유출 확인 서비스 (privacy.go.kr)
- KISA “털린 내 정보 찾기” 서비스 — 본인 계정이 다크웹에 노출되었는지 조회
- 올크레딧 / 나이스지키미 — 신용정보 조회 알림 설정으로, 본인 명의 대출 심사·카드 발급 시도 시 즉시 알림 수신
마무리 — 유심 교체는 시작일 뿐이다
통신 3사의 보안이 연쇄적으로 무너진 2025년의 경험은, 통신 인프라 보안이 더 이상 통신사의 내부 문제가 아니라 국민 개개인의 금융 안전과 직결된다는 사실을 증명했다.
특히 LGU+의 경우, 해킹 피해 자체보다 더 우려스러운 것은 사후 대응 과정이다. 2025년 민관합동조사단이 침해 경위를 확인하려 했을 때 핵심 서버의 OS가 이미 재설치되어 있었고, 일부 서버는 폐기되어 있었다. 해커가 정확히 어디까지 침투했고 무엇을 가져갔는지, 지금으로서는 누구도 알 수 없다. 이런 상황에서 통신사의 “안전하다”는 해명을 액면 그대로 받아들이기는 어렵다.
유심을 교체하고, 2FA를 바꾸고, 이체 한도를 낮추는 것은 당장의 위험을 줄여준다. 하지만 이미 유출된 데이터는 회수할 방법이 없고, Europol이 적발한 SIM Farm처럼 범죄 인프라는 이미 산업화되어 있다. 결국 장기전이다. 유심 교체 이후에도 의심스러운 연락에 대한 경계를 늦추지 않고, SMS 의존도를 줄이며, 주기적으로 본인의 개인정보 유출 여부를 확인하는 습관이 가장 현실적인 방어선이다.