SK텔레콤 유심 정보 유출, 이것은 명백한 인재(人災)입니다.

"내 폰이 나도 모르게 복제될 수 있다?" 2025년 4월, 대한민국 통신 역사상 최악의 보안 사고가 드러났습니다. SK텔레콤 가입자 약 2,696만 명의 유심(USIM) 핵심 정보가 해킹으로 유출되었습니다. 단순한 실수라고 하기엔, 그 기간이 너무 길었고 회사의 대응은 무책임했습니다.

정부 민관합동조사단의 최종 결과(2025.07.04)를 바탕으로, 왜 우리가 SK텔레콤에 법적 책임을 물어야 하는지 설명해 드립니다.

1. 무엇이 유출되었나? : 디지털 만능키를 도난당했습니다.

일반적인 개인정보 유출(이름, 주소)과는 차원이 다릅니다. 이번에 유출된 것은 통신망이 진짜 가입자를 식별하는 데 사용하는 핵심 암호키입니다.

• 유출 규모: 2,696만 건 (SKT 및 SK망 알뜰폰 가입자 포함)

• 유출 항목:

  • IMSI (국제이동가입자식별번호): 통신 회선의 고유 ID

  • 유심 인증키 (K값): [가장 치명적] 유심 복제 방지를 위한 핵심 보안 키

  • ICCID: 유심 카드 일련번호

  • 기타 관리용 정보 21종

이 정보들이 해커의 손에 들어가면 '심 스와핑(SIM Swapping)' 공격이 가능해집니다. 해커가 내 유심 정보를 복제한 '가짜 유심'을 만들어, 내 명의의 핸드폰을 그대로 사용할 수 있게 되는 것입니다.

2. SK텔레콤의 4대 중과실 : 막을 수 있었고, 알릴 수 있었습니다.

정부 조사 결과, SK텔레콤의 보안 관리는 총체적 난국이었습니다. 이는 단순한 '피해자'가 아니라, 보안 의무를 저버린 '가해자'에 가까운 과실입니다.

1. 비밀번호를 평문으로 방치 (기본적인 보안 수칙 위반)

   • 시스템 관리망 서버의 관리자 ID와 비밀번호를 암호화하지 않고 평문(Plain Text) 상태로 저장했습니다. 해커는 이를 손쉽게 획득하여 안방 드나들듯 서버를 유린했습니다.

2. 핵심 인증키 암호화 미조치

   • KT, LG U+ 등 타사는 GSMA(세계이동통신사업자협회) 권고에 따라 유심 인증키를 암호화하여 저장합니다. 그러나 SK텔레콤은 이를 암호화하지 않고 저장하고 있었습니다.

3. 4년간의 방치, 그리고 은폐 시도

   • 최초 해킹은 2021년 8월 6일 시작되었습니다.

   • 더 충격적인 사실은, SK텔레콤이 2022년 2월에 이미 악성코드 감염 사실을 인지했다는 점입니다. 하지만 신고의무를 어기고 자체적으로 덮으려다 2025년 4월이 되어서야 사태가 터졌습니다.

3. BPFDoor 악성코드와 뚫린 보안망

이번 해킹에 사용된 BPFDoor는 리눅스 커널 수준에서 동작하는 고도화된 백도어 프로그램입니다. 평소에는 죽은 듯이 숨어 있다가 해커의 특정 신호(매직 패킷)가 오면 깨어나 정보를 밖으로 빼돌립니다.

전문가들은 SKT 보안관제센터가 4년 가까이 이를 탐지하지 못한 것은, 아웃바운드(내부→외부) 트래픽 모니터링이 제대로 이루어지지 않았다는 증거라고 지적합니다. 1등 통신사라는 타이틀이 무색한 보안 수준입니다.

4. 우리는 정당한 손해배상을 요구합니다.

SK텔레콤은 이번 사건을 축소하려 하고 있습니다.

• "통화 기록은 유출되지 않았다"고 주장했으나, 내부 서버 감염이 확인되었습니다.

• "로그가 없어 확인 불가하다"며 2022년~2024년 사이의 피해를 모른 척하고 있습니다.

개인정보보호법상 안전조치 의무 위반, 고의적인 은폐 및 신고 지연, 그리고 증거 인멸 시도까지. 이것은 단순 과실이 아닙니다.

저희 로피드 법률사무소는 SK텔레콤의 이러한 중대 과실을 근거로, 단순 위자료를 넘어 법원이 인정할 수 있는 최대한의 손해배상을 청구할 것입니다.

지금 바로 소송에 참여하여 여러분의 권리를 찾으십시오.