1. 사건 개요와 충격적 결과
2025년 7월 4일, 과학기술정보통신부와 민관합동조사단은 SK텔레콤 해킹 사건에 대한 최종 조사 결과를 발표했다. 2021년 8월부터 2025년 4월까지 무려 3년 8개월간 지속된 이 침해는, 국내 1위 통신사의 허술한 보안과 관리 부실을 여실히 드러냈다. 총 28대 서버가 감염되어 33종의 악성코드가 발견되었고, 2,696만 건에 달하는 유심 정보(전화번호, IMSI 등 25종, 9.82GB)가 유출되었다. SKT 가입자 수(2,300만 명)를 훨씬 뛰어넘는 규모다.
2. 해킹 과정: 방탈출 게임이 되어버린 보안
2.1. 초기 침투의 미스터리
- 공격자는 2021년 8월, 외부 인터넷과 연결된 시스템 관리망 내 서버 A에 접속했다. 그러나 어떻게 접속했는지, 어떤 취약점이 이용됐는지에 대한 명확한 설명은 조사단 보고서 어디에도 없다.
- 조사단은 "공격자가 서버 A에 접속했다"는 결과만을 제시할 뿐, 실제 침투 경로와 방법에 대한 분석은 빠져 있다. 이는 조사단의 기술적 역량 부족 또는 의도적 생략이라는 비판을 피할 수 없다.
2.2. 계정 정보 평문 저장, 그리고 연쇄 로그인
- 서버 A에는 다른 서버의 계정 정보(ID, 비밀번호)가 평문으로 저장되어 있었다. 해커는 이를 이용해 서버 B에 로그인, 다시 서버 B에서 HSS(가입자인증서버) 계정 정보를 평문으로 획득, 최종적으로 코어망까지 침투했다.
- 이 과정에서 해커는 실제 해킹이 아니라, 연쇄 로그인만으로 내부망을 뚫었다. 해킹이 아니라 단순한 로그인, 즉 '방탈출 게임'을 하듯 계정 정보를 따라가며 서버를 점령한 셈이다.
2.3. 악성코드 설치와 정보 유출
- 해커는 Cross C2(오픈소스 Cobalt Strike 프레임워크 기반), BPFDoor(리눅스 백도어), 웹쉘 등 33종의 악성코드를 설치해 장기 거점을 확보했다.
- 2025년 4월, 음성통화 인증 서버 3대에서 2,696만 건의 유심 정보가 외부로 유출됐다.
3. 유출 정보와 조사단의 모호한 결론
3.1. 유출된 정보의 종류와 위험성
| 정보 종류 | 유출 규모 | 비고 |
|---|---|---|
| 유심 정보 25종 (IMSI, 인증키 등) | 2,696만 건 | 유심 복제, 스푸핑 등 심각한 위험 |
| 전화번호 | 2,696만 건 | 가입자 수(2,300만) 초과 |
| IMEI(단말기 식별번호) | 불명 | 해킹된 서버 2대에 평문 저장, 로그 미존재로 유출 여부 미확인 |
| CDR(통화기록) | 불명 | 해킹된 서버 1대에 평문 저장, 23.1.31~24.12.8 로그 미존재 |
3.2. "유출 정황 없음"이라는 마법의 결론
- 조사단은 IMEI, CDR 등 일부 정보에 대해 "유출 정황이 없다"고 결론 내렸다. 그러나 이는 로그가 없어서 확인이 불가능하다는 의미일 뿐, 실제 유출이 없었다는 증거는 아니다.
- 이런 결론은 "로그가 없으면 유출도 없다"는 잘못된 교훈을 남긴다. 이는 타 기업에도 매우 위험한 선례로 작용할 수 있다.
4. SKT의 총체적 보안 부실과 조사단의 한계
4.1. 계정 관리와 정보 암호화의 기본조차 무시
- 서버 간 계정 정보를 평문으로 저장, 다단계 보안 체계 부재, 한 번 침투 시 연쇄적 피해가 발생하는 구조적 결함.
- 유심 인증키(Ki) 등 핵심 정보는 타 통신사(KT, LGU+)와 달리 암호화 저장조차 하지 않았다.
4.2. 악성코드 발견 후 은폐와 신고 지연
- 2022년 2월, 악성코드 발견 후 법적 신고 의무를 이행하지 않고 자체적으로 '조용히' 삭제 처리.
- 자료 보전 명령 위반: 키사(KISA)의 자료 보전 명령에도 불구, 서버 2대를 포렌식 불가 상태로 제출.
- 이러한 은폐와 미흡한 대응이 대규모 유출로 이어졌음에도, 조사단은 책임 소재를 명확히 밝히지 않았다.
4.3. 조사단의 기술적·윤리적 한계
- 초기 침투 경로, 공격자 접속 방법 등 핵심 쟁점에 대한 분석 부재.
- 로그가 없다는 이유로 "유출 정황 없음" 결론을 내리는 등, 책임 회피성 결론이 다수.
- 보안 사고의 원인과 재발 방지 대책에 대한 구체적 제언 부족.
5. 위약금 면제와 통신 3사 대전, 그리고 본질적 문제
5.1. 위약금 면제 결정, 그리고 고객 이탈
- SKT의 명백한 과실로 위약금 면제 결정. 69만 명의 고객이 이탈.
- KT, LGU+ 등 경쟁사들의 공격적 마케팅으로 통신사 간 전쟁 본격화.
5.2. 본질은 "보안"인데, 논란은 "위약금"에만 집중
- 대중과 언론의 관심이 위약금 면제와 고객 이탈에만 쏠리며, 정작 SKT와 조사단의 보안 부실, 은폐, 책임 회피는 논란이 되지 않고 있다.
- 이는 한국 사회의 보안 인식 수준과 책임 규명 시스템의 한계를 보여준다.
6. 비판적 총평과 향후 과제
6.1. SKT에 대한 비판
- 계정 정보 평문 저장, 암호화 미실시, 다단계 보안 부재 등 기본조차 지키지 않은 보안 관리.
- 악성코드 발견 후 은폐, 신고 지연, 자료 보전 명령 위반 등 책임 회피와 조직 문화의 문제.
- 사고 후 보안 인력·예산 확대 약속, 그러나 실질적 변화와 문화 개선이 더 중요하다.
6.2. 조사단과 정부에 대한 비판
- 초기 침투 경로, 해커의 실제 접근 방법 등 핵심 쟁점에 대한 분석 부족.
- 로그 미존재를 이유로 "유출 정황 없음"이라는 무책임한 결론.
- 책임 소재와 재발 방지에 대한 구체적 조치·감독 의지 부족.
6.3. 사회적 교훈
- 보안 사고의 본질은 "기술"이 아니라 "관리"와 "문화"임을 다시 한 번 확인.
- 사고 은폐, 책임 회피, 기본 미준수는 결국 더 큰 재앙을 부른다.
- 통신사, 정부, 조사단 모두가 진정한 반성과 체질 개선에 나서야 한다.
7. 결론: 방탈출 게임이 되어버린 대한민국 보안 현실
SK텔레콤 해킹 사건은 단순한 기술적 사고가 아니라, 조직의 관리 부실과 조사 시스템의 한계, 그리고 사회적 무관심이 빚어낸 복합적 재앙이었다. "방탈출 게임" 같은 계정 관리, 책임을 회피하는 조사단, 위약금 논란에만 집중하는 사회 모두가 반성해야 할 시점이다.
진정한 변화는 기술적 보완을 넘어, 보안을 최우선 가치로 삼는 조직 문화와 투명한 사고 공개, 책임 있는 조사와 감독에서 시작된다. 이번 사건이 대한민국 보안 수준을 한 단계 끌어올리는 계기가 되길 바란다.
