2025년 4월 SK텔레콤 2324만명 유심정보 해킹사건 완전분석. BPFDoor 악성코드가 3년간 잠복하며 유심인증키까지 유출한 역대 최대 통신보안사고의 모든 것
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2025년 4월 18일 밤 11시 20분, SK텔레콤 보안팀의 모니터링 화면에 이상한 신호가 포착된다. 평소보다 수십 배 많은 데이터가 외부로 빠져나가고 있었다. 마치 은행 금고에서 누군가가 조용히 돈을 빼내는 것처럼, 9.7GB에 달하는 귀중한 정보가 해외로 유출되고 있었던 것이다.
하루 뒤인 4월 19일 밤, 더 광범위한 사실이 드러났다. 유출된 것은 단순한 개인정보가 아니라 휴대폰의 디지털 신분증이었다. 유심카드의 핵심 인증 정보까지 모조리 털린 것이죠.
이번 공격의 주범은 BPFDoor라는 악성코드였다. 이 프로그램은 마치 "디지털 암살자" 같은 존재이다:
보안 전문가들은 이 공격이 Red Menshen이라는 중국계 해킹 그룹의 소행으로 추정한다고 밝혔다. 이들은 최소 5년 이상 탐지되지 않고 활동해온 고도로 훈련된 사이버 공격 조직이다.
SK텔레콤 서버 23대가 감염되었고, 발견된 악성코드만 25종에 달했다. 마치 한 건물에 25명의 도둑이 각각 다른 방식으로 숨어들어가 3년간 정보를 빼내온 것과 같다.
BPFDoor 3년 잠복 타임라인
2,324만 명의 다음 정보가 유출되었다:
특히 유심 인증키가 유출되면 가장 위험한다. 마치 집 열쇠와 신분증을 동시에 도둑맞은 것과 같아서, 해커가 피해자 명의로 대출받거나 계좌에서 돈을 빼낼 수 있게 된다.
하지만 현재까지는 구체적인 2차 피해 사례가 확인되지 않았습니다. SK텔레콤의 고객 보호 시스템이 정상 작동하고 있고, 유출된 정보로 인한 금전 피해 신고는 접수되지 않은 상황이다.
이번 SK텔레콤 해킹에 사용된 BPFDoor 악성코드는 MITRE ATT&CK 프레임워크의 여러 기법에 매핑된다:
| 전술 | 설명 |
|---|---|
| 지속성 | 기법 ID: T1014 / 기법명: Rootkit / 설명: BPF 커널 레벨에서 동작하여 탐지 회피 |
| 방어 회피 | 기법 ID: T1036 / 기법명: Masquerading / 설명: 정상 프로세스명('kdmtmpflush')으로 위장 |
| 명령 및 제어 | 기법 ID: T1071 / 기법명: Application Layer Protocol / 설명: 매직 패킷을 통한 은밀한 C2 통신 |
| 수집 | 기법 ID: T1005 / 기법명: Data from Local System / 설명: 유심 인증키 등 로컬 데이터 수집 |
| 유출 | 기법 ID: T1041 / 기법명: Exfiltration Over C2 Channel / 설명: C2 채널을 통한 9.7GB 데이터 유출 |
BPFDoor는 T1014 (Rootkit) 기법의 전형적인 사례이다. BPF(Berkeley Packet Filter)는 리눅스 커널에서 네트워크 패킷을 필터링하는 정상 기능인데, 공격자는 이를 악용해 방화벽보다 먼저 패킷을 수신할 수 있었다. 기존 보안 솔루션이 탐지하기 어려운 이유이다.
개인정보보호위원회는 과징금 1,347억 원과 과태료 960만 원을 부과했다. 이는 국내 개인정보 유출 사건 중 역대 최대 규모의 제재이다.
가장 심각한 문제는 정보보호책임자(CISO)의 역할 제한이었다:
2024년 기준 가입자 100만 명당 정보보호 투자액 비교:
SK텔레콤의 보안 투자가 다른 통신사 대비 절반 이하 수준이었던 것이 확인되었다.
유심 복제에 활용될 수 있는 유심 인증키(Ki)를 암호화하지 않고 저장했다. 세계이동통신사업자협회(GSMA)는 암호화를 권고하고 있으며, KT와 LG유플러스는 모두 암호화하여 저장하고 있었다.
2016년 인터파크 개인정보 유출 사건에서는 1인당 10만 원을 배상했지만, 실제로 받은 사람은 4,300명에 불과했다. 이번 사건은 피해 규모나 참여자 수 모든 면에서 전례 없는 수준이다.
기업의 보안 책임자는 모든 IT 시스템에 대한 통합 권한을 가져야 한다. 사각지대가 있으면 해커들이 반드시 그곳을 노립니다.
보안은 한 번 구축하면 끝이 아닙니다. 해커들의 기술이 계속 진화하므로, 보안 시스템도 지속적으로 업그레이드해야 한다.
BPFDoor 같은 고도화된 공격은 기존 보안 솔루션으로는 탐지가 어렵다. Lazarus 그룹이 사용하는 맞춤형 악성코드와 같은 수준의 위협이다. 행위 기반 탐지, 제로 트러스트 같은 새로운 보안 패러다임이 필요하다.
이번 SK텔레콤 유심 해킹 사건은 국가 통신 인프라의 보안 취약성을 적나라하게 드러낸 사건이다. 2,324만 명의 디지털 신분증이 한순간에 위험에 노출되었다는 사실은, 우리 사회 전체가 사이버 보안에 대해 근본적으로 다시 생각해봐야 한다는 경고이다. 3.20 사이버테러부터 이번 사건까지, 한국은 반복적으로 같은 교훈을 얻고 있다.
다행히 아직까지 구체적인 2차 피해는 발생하지 않았지만, 이는 '운이 좋았다' 는 말로밖에 설명할 수 없다. 앞으로는 이런 일이 다시 발생하지 않도록, 정부와 기업 모두 보안을 최우선으로 두고 투자와 관리에 집중해야 할 것이다.
BPFDoor가 3년간 탐지를 피한 핵심 기술은 BPF(Berkeley Packet Filter) 필터를 활용한 네트워크 통신 은폐다. 일반적인 백도어는 특정 포트를 열어 대기하지만, BPFDoor는 기존 서비스 포트의 트래픽을 가로채는 방식으로 작동한다. 방화벽 규칙에 새로운 포트가 추가되지 않으므로 네트워크 모니터링에서 이상을 감지하기 어렵다.
공격자는 특수하게 조작된 매직 패킷(Magic Packet)을 전송하여 BPFDoor를 활성화한다. BPF 필터가 이 패킷을 식별하면 백도어가 리버스 셸을 생성하고, 공격자는 원격에서 시스템을 제어할 수 있게 된다. 통신이 끝나면 프로세스는 다시 휴면 상태로 돌아간다. 이 방식은 Sysmon이나 EDR의 프로세스 모니터링으로도 포착하기 어렵다. 프로세스 이름을 /usr/libexec/postfix/master처럼 정상 데몬으로 위장하기 때문이다.
SK텔레콤 사례에서 특히 문제가 된 것은, HSS(Home Subscriber Server) 서버가 리눅스 기반이었다는 점이다. BPFDoor는 리눅스 커널의 정상 기능인 BPF를 악용하므로, 커널 수준의 행위 분석 없이는 탐지가 사실상 불가능했다.
이 사건 이후 과학기술정보통신부는 주요 통신사에 대해 연 2회 이상의 APT 대응 모의훈련을 의무화했다. 또한 HSS 서버처럼 핵심 인프라에 대해서는 커널 수준의 무결성 검증(Kernel Integrity Monitoring)을 도입하도록 권고했다. 단순 안티바이러스 설치가 아닌, 시스템 콜 수준의 행위 분석이 필요하다는 인식이 확산된 계기가 됐다.
보안 전문가들은 이 사건을 '한국판 SolarWinds'로 부른다. SolarWinds 공격이 네트워크 관리 소프트웨어의 공급망을 침해했듯, SK텔레콤 사건은 통신 인프라의 핵심 서버가 장기간 침해당했다는 점에서 유사하다. 차이점이 있다면, BPFDoor는 공급망이 아닌 직접 침투 방식이었고, 탐지까지 3년이라는 시간이 걸렸다는 점이다. 이는 국가 기반 시설에 대한 APT 위협 탐지 체계의 근본적 재검토가 필요하다는 것을 의미한다.
📌 이 글은 AI(Claude) 를 활용하여 작성되었습니다. 사건의 사실관계는 인용된 참고 자료에 근거하며, 시나리오는 이해를 돕기 위해 각색되었습니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.