2025년 5월, SBS 보도를 통해 SK텔레콤 서버가 해킹된 사실이 이미 3년 전부터 진행되어 왔다는 충격적인 사실이 밝혀졌습니다. 더 놀라운 점은, 이 사건이 단순한 금전적 목적의 해킹이 아니라, 정체불명의 고도화된 목적을 가진 것으로 보인다는 점입니다.
해킹은 2022년 6월 15일에 시작된 것으로 확인되었으며, 감염된 서버에서는 단말기 고유식별번호(IMEI)는 물론, 이름, 생년월일, 전화번호 등 민감한 개인정보가 저장돼 있던 정황까지 드러났습니다.
📌 해킹된 서버와 악성코드의 규모는? — 피해는 여전히 확산 중
✅ 2차 조사에서 드러난 사실
- 감염된 서버 수: 최초 5대 → 더 늘어난 것으로 추정
- 악성 코드 종류: 기존 4종 + 추가 1종 → 총 5종
- 추가로 감염된 서버에서는 다음과 같은 민감한 정보가 저장돼 있었음:
· 단말기 고유식별번호(IMEI) 약 29만 건
· 사용자 이름, 생년월일, 전화번호 등 개인정보
이는 단순한 네트워크 침입이 아니라, 복제폰 제작, 사용자 추적, 신분 도용 등 심각한 범죄에 악용될 수 있는 정보입니다. 이와 같은 정황은 해커들이 명확한 목적을 가지고 장기간 잠복해 있었음을 방증합니다.
⏱️ 해킹은 3년 전 시작…그러나 로그 기록은 최근 4개월만 남아
이번 조사에서 가장 심각하게 지적되는 부분 중 하나는 기록(로그) 관리 부실입니다.
- 해킹 침투 시점: 2022년 6월 15일
- 현재 남아 있는 로그 기록: 최근 4개월치뿐
- 2024년 12월 2일 이전의 자료 유출 여부는 확인조차 불가
이는 해킹이 실제로 어떤 데이터를 탈취했는지, 또 얼마나 많은 피해자가 영향을 받았는지를 아무도 알 수 없는 상황이라는 뜻입니다. 즉, 3년간 해커는 들키지 않고 서버에 접근, 감염 상태를 유지했고, 피해 규모는 빙산의 일각일 수도 있다는 우려가 나옵니다.
💰 “돈이 목적이 아니었다”는 섬뜩한 분석…목적은 ‘정보 자체’?
보안 전문가들은 일반적인 사이버 공격과는 전혀 다른 양상이라고 지적합니다.
일반적인 해킹의 흐름:
1. 서버나 데이터베이스 침입
2. 개인정보나 중요 자료 탈취
3. 몸값(랜섬) 요구 또는 다크웹에서 판매
하지만 이번 사건은 전혀 다른 행태를 보입니다.
“만약 돈을 노리는 해커였다면 이미 SKT와 협상에 들어갔을 겁니다. 그런데 3년이 지나도 아무런 접촉이 없다는 건, 정보 수집 자체가 목적일 가능성이 높습니다.”
이는 국가 차원 또는 조직적 목적의 첩보 수집, 사이버 정찰, 감시 등의 시나리오를 떠올리게 합니다.
🧬 사용된 악성코드 ‘BPFdoor’…중국 해커 집단의 흔적?
SBS는 이번 사건에 사용된 악성 코드 중 하나로 ‘BPFdoor’를 언급했습니다. 이 악성 코드는 이미 다음과 같은 사례에서 사용된 바 있습니다:
- 중국 해커 조직이 중동과 아시아의 통신사 공격에 사용
- 관리자 몰래 시스템 내부에 침투
- 원격 명령, 파일 다운로드·업로드, 정보 전송까지 수행 가능
이로 인해 전문가들은 이번 해킹이 단순 개인이 아닌, 조직적이고 전략적인 국가 배후 세력의 공격일 가능성이 있다고 분석합니다.
🔐 SK텔레콤의 입장: “복제폰은 어렵고 통화기록은 암호화돼 있다”
SK텔레콤은 다음과 같이 해명하고 있습니다.
- 통화 상세 기록은 암호화돼 있어 외부 유출은 어렵다.
- 복제폰 제작 가능성은 극히 낮다.
- 비정상 인증 차단 시스템을 최고 수준으로 운영 중이다.
하지만 보안 전문가들은 IMSI, IMEI 같은 식별 정보는 암호화 대상이 아니며, 복제폰 제작이나 사용자 위치 추적에 악용될 가능성이 충분하다고 반박합니다.
🧠 왜 SK텔레콤이 타깃이 되었을까?
📡 SKT는 단순한 통신사가 아니다
- 국내 최대 규모 가입자: 2,500만 명 이상
- 스마트폰뿐 아니라 스마트워치, 태블릿, IoT 유심까지 포함
- 공공기관과 연계된 보안 시스템도 보유
따라서 SK텔레콤을 해킹한다는 건, 단순한 통신사 해킹이 아니라 국가 통신 인프라 전체에 대한 공격과도 같은 의미를 가집니다.
⚠️ 지금 필요한 건 ‘사과’가 아니라 ‘시스템의 대개편’
🔍 재발 방지를 위한 핵심 과제 4가지
1. 로그 보존 기간 강화
- 현재는 3~6개월 수준 → 최소 2년 이상으로 확대
- 과거 침투 흔적도 추적할 수 있는 체계 필요
2. 실시간 악성코드 탐지 시스템 구축
- AI 기반 이상 징후 탐지
- 외부 IP 접근 자동 차단 기능 강화
3. 피해자 정보 조회 서비스 제공
- 유출 여부 확인 시스템 구축
- 본인 인증 후 조회 가능하도록 설계
4. 정부·민간 공동 사이버 보안 기구 설립
- 민간 통신사 단독 대응은 한계
- 국방, 정보, 과학기술부 등과 협업 필수
🔚 결론: 이건 단순한 해킹이 아니라 ‘사이버 침공’이다
3년간 내부에 잠복하며 정보를 수집한 정황, 금전 요구가 전혀 없는 이상한 침묵, 중국 해커 조직의 흔적, 그리고 국가 주요 통신 인프라를 타깃으로 한 정밀 공격…
이번 사건은 더 이상 ‘기업 보안 실패’라고 보기 어렵습니다. 이건 사이버 범죄가 아니라 사이버 침공입니다.
지금 우리에게 필요한 것은 명확한 정보 공개, 책임 있는 사과, 그리고 철저한 재발 방지책입니다. 국민 모두의 정보와 안전이 걸린 문제인 만큼, 더 이상 늦출 수 없습니다.