[SK 텔레콤②] 4년간 열린 문, SKT의 보안 부실 일기

해커는 있었고, 문은 열려 있었다

2025-09-01     박준식 기자
SK텔레콤. 사진=2025 05.02   K trendy NEWS DB ⓒ케이 트렌디뉴스 무단전재 및 수집, 재배포금지

[KtN 박준식기자]2021년 8월, SK텔레콤의 내부망에 한 해커가 조용히 들어왔다. 이후 2025년 4월까지 무려 4년 동안 그는 눈에 띄지 않게 기업의 핵심 시스템을 배회했다. 관리자 계정 비밀번호는 암호화조차 되지 않은 평문으로 저장돼 있었고, 통신 핵심 서버는 비밀번호 한 번 입력 없이도 접속할 수 있었다. 이 거대한 구멍은 국민 절반의 개인정보를 외부로 흘려보냈다. 피해자는 2,324만 명. 유심 인증키와 가입자식별번호(IMSI)까지 포함된 25종의 민감정보가 탈취됐다. ‘보안 부실’이라는 말조차 부족할 정도의 관리 태만이 드러난 사건이었다. 이번 사태는 단순 해킹이 아니라, 대기업의 방치와 구조적 무능이 불러온 ‘4년짜리 사고일지’였다.

평문으로 쌓인 관리자 계정 4,899개

해커가 처음 문을 연 순간은 2021년 8월이었다. SK텔레콤 내부망에 침투한 그는 평문으로 저장된 관리자 계정과 비밀번호 약 4,899개를 손쉽게 탈취했다. 이 정보만으로도 내부 시스템 접근은 충분했다. 이후 공격자는 운영체제 관리자 권한을 획득해 서버 전체를 자유롭게 드나들 수 있게 됐다.

보안의 기본은 암호화다. 하지만 SK텔레콤은 이 기본을 지키지 않았다. 서버 2,365대에서 계정 정보가 암호화 없이 관리됐다. IT 업계 관계자들은 “중소기업도 하지 않는 보안 실수를 통신 대기업이 방치했다”는 비판을 쏟아냈다.

악성코드로 자리 잡은 ‘BPF 도어’

2022년 6월, 해커는 통합고객인증시스템(ICAS)에 악성코드 ‘BPF 도어’를 설치했다. 이 백도어를 통해 그는 장기간 SK텔레콤 내부망을 장악했다. 침입탐지 시스템은 이상 징후를 기록했지만, 관리자는 이를 무시했다. 보안 담당자라면 의심해야 할 흔적을 방치한 것이다.

더욱 충격적인 사실은 SK텔레콤이 이미 2022년 2월 해커의 서버 접속 사실을 인지했음에도 별다른 대응을 하지 않았다는 점이다. 백신이 설치되지 않은 주요 서버는 무방비 상태였고, HSS 데이터베이스는 별도 인증 절차조차 없었다. 거대한 기업의 보안 체계가 사실상 ‘자율 출입소’처럼 운영된 셈이다.

9.82GB, 국민 절반의 정보가 빠져나가다

2025년 4월 18일, 해커는 홈가입자서버(HSS) 데이터베이스에 접근해 약 9.82GB에 달하는 개인정보를 외부로 유출했다. 피해자는 SK텔레콤과 알뜰폰 가입자를 포함한 2,324만 명. 유출된 정보에는 휴대전화 번호, IMSI, 유심 인증키(Ki, OPc) 등이 포함됐다. 특히 유심 인증키는 통신망 접속의 핵심 정보로, 유출 시 복제 유심 제작과 통신망 악용 가능성이 높아진다. SK텔레콤은 사후적으로 FDS(불법 유심 복제 탐지 시스템) 고도화, 유심 교체 서비스 확대 등을 내세웠지만, 사고 예방에는 실패했다. 국민은 이미 ‘정보가 팔려나갔을지도 모른다’는 불안을 떠안아야 했다.

 ‘보호책임자’는 있었지만, 책임은 없었다

사고를 키운 또 다른 요인은 조직적 구조였다. SK텔레콤의 개인정보보호책임자(CPO)는 웹·앱 서비스에만 권한이 집중돼 있었다. 정작 통신 인프라와 같은 핵심 영역은 감독하지 않았다. 즉, 이름만 ‘개인정보보호책임자’였을 뿐 실제 인프라 보안의 책임은 공백 상태였다.

여기에 사고 은폐·축소 의혹도 불거졌다. SK텔레콤은 2022년 해커 접속 사실을 알고도 41시간이 지난 뒤에야 정부에 신고했고, 피해 규모 역시 축소해 공개했다는 비판을 받았다. ‘신속한 신고와 투명한 공개’라는 원칙은 기업의 이해관계 앞에서 무너졌다.

인증제도의 허상, 투자 없는 보안

SK텔레콤은 매년 ISMS(정보보호관리체계) 인증을 통과해왔다. 그러나 이번 사건은 인증제도가 얼마나 현실과 괴리돼 있는지를 드러냈다. 서류상 요건은 충족했지만, 현장 보안은 허술했다.

보안 투자 부족도 구조적 문제다. 경쟁사 대비 SK텔레콤의 보안 예산 투입은 낮았다는 지적이 많다. 기업이 비용 절감을 위해 보안을 후순위로 밀어낸 결과, 국민 절반이 피해자가 됐다.

보안은 선택이 아니라 ‘공공재’다

이번 사건은 ‘우연한 해킹’이 아니다. 4년 동안 문이 열린 상태였고, 기업은 이를 알면서도 외면했다. 평문 계정, 미설치 백신, 무시된 경보, 축소 보고. 한두 개의 실수가 아니라, 총체적 부실이 낳은 결과였다.

통신 서비스는 단순한 상품이 아니다. 국민 생활과 금융, 안전을 떠받치는 사회적 기반시설이다. 따라서 보안은 기업의 선택이 아니라 공공재적 책무다. SK텔레콤 사태는 한국 보안 체계 전반이 근본부터 다시 설계돼야 함을 보여준다.

“보안은 비용이 아니라 투자”라는 인식이 자리 잡지 않는다면, 또 다른 사고는 시간문제다. 국민 절반의 정보가 빠져나간 이번 사태는 경고다. 다시는 ‘4년짜리 해킹 일기’가 쓰이지 않도록, 제도와 기업의 책임 구조를 근본적으로 바꿔야 한다.