최근 SK텔레콤(SK Telecom, SKT)의 개인정보 유출 사건은 2,324만 명 규모라는 초대형 피해로 이어졌습니다. 이번 사고는 단순한 해킹을 넘어, **수년간 잠복해 있던 지능형 지속 위협(APT)**과 보안 거버넌스의 부재가 결합된 대표적 사례로 기록될 전망입니다.
이번 글에서는 사건의 전개 과정, 기술적 침투 요인, 그리고 과징금 처분과 시사점을 종합적으로 정리합니다.
1. 개인정보 유출 사건 개요
- 사고 발견: 2025년 4월 18일 SKT 내부에서 이상 트래픽 감지
- 신고 지연: 4월 20일 한국인터넷진흥원(KISA)에 보고 (법정 24시간 내 신고 의무 위반)
- 유출 규모: 총 2,324만 명 고객 개인정보, 약 9.82GB 분량
- 유출 데이터 항목: 휴대전화 번호, IMSI, USIM 인증키(KI·OPc) 등 총 25종
2. 개인정보 유출 기술적 침투 요인
(1) 초기 침투
- WebShell과 TinyShell을 활용해 서버에 악성 스크립트를 삽입.
- 이를 통해 내부 시스템에 원격 명령을 실행할 수 있는 발판 확보.
(2) 지속적 잠복
- BPFDoor라는 백도어가 핵심 역할을 담당.
- 네트워크 트래픽을 은밀히 가로채며 최대 3년 이상 잠복 가능.
- SKT 조사 결과, 27건의 BPFDoor 설치 흔적 발견.
(3) 내부 확산
- TinyShell과 CrossC2를 활용해 서버 간 수평 이동.
- 관리자 권한 탈취 후 인증 서버(HSS)까지 침투.
(4) 명령·제어
- CrossC2, Sliver라는 오픈소스 C2(Command & Control) 프레임워크를 사용.
- 공격자는 이를 통해 다수 서버를 원격 제어하며 체계적으로 데이터 수집·탈취.
(5) 데이터 유출
- USIM 인증키, IMSI 등 통신 보안의 핵심 데이터가 외부로 전송.
- 특히 평문 저장 구조로 인해 위험성이 극대화됨.
3. 개인정보 유출 주요 취약점 정리
- 자격 증명 관리 부실: 계정·비밀번호 암호화 미비
- 암호화 부족: 핵심 인증 데이터(USIM 키) 평문 저장
- 네트워크 분리 실패: 인터넷망·관리망·내부망 간 구분 부재
- 이상 징후 대응 실패: 2022년에 이미 침투 흔적이 있었음에도 방치
- 로깅·탐지 체계 부재: 침투 흔적 파악 및 사후 조사조차 곤란
4. 과징금 및 행정 처분
과징금 규모
- **개인정보보호위원회(PIPC)**는 약 1,347억 9,100만 원 과징금과 960만 원 과태료를 부과.
- 이는 국내 역대 최대 규모의 개인정보 보호 관련 과징금 사례.
※ 개인정보위, ‘SK텔레콤 개인정보 유출사고’ 제재처분 의결(2025.8.28)
URL : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=11453
행정적 조치
- 개인정보 처리체계 전면 개편
- CPO(개인정보보호최고책임자) 권한 강화
- CEO 직속 보안 거버넌스 체계 구축
- 분기별 보안 점검 및 보고 의무화
SKT의 대응
- 5년간 7,000억 원 보안 투자 계획 발표
- USIM 무료 교체, 8월 요금 50% 할인, 위약금 면제 등 고객 보상
- 제로 트러스트 아키텍처 도입, 보안 인력·예산 확대
5. 보안 전문가 코멘트: 이번 사고에서 배워야 할 3가지
① 데이터는 반드시 암호화해야 한다
SKT는 유심 인증키와 IMSI 같은 핵심 데이터를 암호화하지 않고 저장했습니다.
이것이 대규모 피해로 직결된 핵심 원인 중 하나입니다.
② APT 공격을 탐지할 수 있는 체계 필요
공격자는 BPFDoor를 활용해 수년간 은닉했습니다.
단순한 보안 솔루션만으로는 한계가 분명합니다.
따라서 위협 헌팅(Threat Hunting), UEBA(이상 행위 분석) 같은 고급 보안 체계가 필요합니다.
③ 보안은 경영진의 책임이다
기술적 취약점 외에도, 조직 내 보고 지연과 CISO 권한 부족이 문제였습니다.
보안은 IT 부서의 문제가 아니라 CEO가 직접 챙겨야 하는 경영 과제입니다.
마무리
이번 SKT 개인정보 유출 사건은 단순한 해킹 사고가 아닌,
- APT 공격의 위험성
- 거버넌스 부재의 심각성
- 규제 강화의 신호탄
을 동시에 보여준 상징적 사건입니다.
기업들은 이번 사건을 타산지석 삼아, 데이터 암호화·탐지 체계 강화·경영진의 보안 리더십이라는 세 가지 원칙을 반드시 실천해야 할 것입니다.