2025년 4월 중순, 국내 최대 이동통신사인 SK텔레콤(SKT)에서 대규모 유심(USIM) 해킹 사건이 발생했습니다. 약 2천3백만 명에 달하는 가입자의 유심 관련 정보가 유출되었다는 소식에 사회적 충격이 컸습니다. 휴대전화 유심은 작은 칩 하나로 가입자의 통신 식별을 담당하는 중요한 요소입니다. 이번 사태를 통해 유심 정보만 탈취되어도 심각한 2차 피해가 발생할 수 있다는 경각심이 높아졌습니다. 본 글에서는 SKT 유심 해킹 사건의 개요와 소비자들에게 미칠 위험, 해외에서의 유사 사례, 그리고 이러한 유심 해킹에 대비하기 위해 소비자가 할 수 있는 대응 방안을 살펴보겠습니다.
SKT 유심 해킹 사건 개요
SK텔레콤은 2025년 4월 19일 밤, 사내 시스템이 해커의 공격을 받았음을 인지했습니다. 해커가 내부 서버에 심어놓은 악성코드를 통해 SKT 가입자의 유심 관련 일부 정보가 외부로 유출된 것이 확인되었습니다. 다행히 이름, 주민등록번호, 주소 등과 같은 민감한 개인정보까지 유출된 것은 아니었지만, IMSI, ICCID 등 유심 고유 식별정보와 인증 키(KEY) 등이 포함된 유심 데이터가 탈취된 것으로 알려졌습니다. SK텔레콤은 즉시 해당 악성코드를 삭제하고 문제 발생 장비를 격리했으며, 한국인터넷진흥원(KISA)과 개인정보보호위원회 등에 관련 사실을 신고하고 정부 합동조사단의 조사를 받고 있습니다
유심 정보 유출 사실이 알려지자, SK텔레콤은 고객 피해를 막기 위한 긴급 조치에 나섰습니다. 우선 유심보호서비스 가입을 적극 권장했는데, 이 서비스는 본인 휴대폰의 유심이 다른 기기에서 작동되지 않도록 이중 인증 절차로 차단하는 보안 장치입니다. 쉽게 말해, 유심보호서비스는 내 휴대폰 번호에 “자물쇠”를 하나 더 다는 셈입니다. 실제로 해킹 소식 직후 3일간 무려 260만 명의 고객이 이 서비스를 가입했을 정도로 관심이 높았습니다. 그러나 초기에는 신규 유심으로 교체하려면 고객이 직접 대리점을 방문해 약 7,700원의 비용을 부담해야 했고, 이에 대해 “통신사 잘못인데 왜 소비자가 비용을 내야 하냐”는 불만이 폭발했습니다. 결국 사고 인지 일주일 만에 SK텔레콤은 전 고객 대상 유심 무료 교체를 결정하여, 원하는 이용자에게 순차적으로 무상으로 새 유심을 제공하기로 했습니다. 현재 SK텔레콤은 약 100만 개의 유심 재고를 보유하고 있으며 5월 말까지 500만 개를 추가 확보하는 등 원활한 교체를 위해 노력하고 있다고 밝혔습니다.
유심 해킹으로 인한 소비자 피해
이번 사건에서 유출된 정보는 일견 전화번호나 이름 같은 직접적인 개인정보는 아니지만, 유심 정보만으로도 충분히 큰 피해를 야기할 수 있습니다. 유심은 우리 휴대폰의 신분증 겸 열쇠와도 같아서, 만약 범죄자가 유심 정보를 복제하면 내 전화번호의 복제 열쇠를 쥐게 되는 셈입니다. 이를 악용하면 다음과 같은 피해가 발생할 수 있습니다.
- 금융 사기: 해커가 유심 정보를 이용해 똑같이 복제한 휴대폰(복제폰)을 만들 경우, 휴대폰으로 오는 인증 문자만으로 은행 계좌 이체나 모바일 결제 승인 등이 이루어지는 점을 노릴 수 있습니다. 예를 들어 내 번호로 된 복제 유심을 범죄자가 갖고 있으면, 내 금융기관에서 보내는 SMS 인증코드가 그들에게 전달됩니다. 이를 통해 은행 계좌에서 돈을 빼내거나, 휴대전화 소액결제로 물품을 구매하는 등 각종 금융범죄를 저지를 수 있습니다. 실제로 2022년 국내에서도 ‘심 스와핑’ 수법으로 수억원대 피해가 발생한 사례가 보고되었는데, 심 스와핑은 이동통신사 직원을 속여 아예 공격자가 새 유심을 발급받아 버리는 수법입니다. 한마디로 **“통신사를 속여 내 번호로 된 복제 유심을 발급받는 것”**이며, 그렇게 번호를 탈취당하면 그 번호로 오는 은행 OTP 문자나 본인인증 문자가 모두 공격자에게 넘어가게 됩니다.
- 신원 도용 및 2차 범죄: 유심이 해킹되면 범죄자가 내 명의로 새로운 휴대전화 회선을 개통하거나 각종 온라인 서비스에 가입할 수 있습니다. 이를 통해 명의 도용으로 대출을 받거나 신용카드를 발급하고, 심지어 범죄 조직이 대포폰을 개통하여 보이스피싱이나 스미싱 범죄에 악용하는 사례도 우려됩니다. 즉, 내 정보가 도용되어 내가 모르던 빚이나 범죄의 피해가 고스란히 내 책임이 될 위험이 있습니다.
- 개인정보 탈취 및 사생활 침해: 유심을 통째로 복제당하면 전화 통화나 문자 메시지가 모두 공격자에게 실시간으로 중계될 수 있습니다. 이를 통해 은밀한 개인 대화나 인증 정보가 노출될 수 있고, 이메일이나 SNS 계정을 탈취당하는 2차 피해로 이어질 수 있습니다. 실제로 해외 해킹 조직은 SIM 스와핑을 통해 피해자의 이메일, 소셜미디어 계정까지 장악하고 사칭하는 일도 벌였습니다. 유명인 계정에 해커가 들어가 거짓 정보를 올리는 등 SNS 계정 탈취 사례도 보고되고 있습니다.
이러한 피해는 단순한 개인정보 유출을 넘어 디지털 사회의 신뢰 기반을 무너뜨릴 수 있다는 점에서 심각합니다. 특히 수천만 명 규모로 유심 정보가 유출될 경우, 대규모 금융 시스템 교란이나 사회 혼란으로까지 번질 수 있다는 지적도 있습니다. 다행히 현재까지 SKT 유심 해킹으로 인한 실제 피해 사례는 공식적으로 확인되지 않았지만, “혹시 내 휴대폰도 뚫린 건 아닐까?” 하는 불안감이 커진 상황입니다.
해외 사례: 글로벌 유심 해킹 사건들
유심을 노린 해킹이나 SIM 스와핑 수법은 비단 국내만의 문제가 아닙니다. 전 세계적으로 이동통신망을 악용한 해킹이 잇따르자 각국에서는 경계를 강화하고 있습니다.
- 미국: 미국에서는 수년 전부터 휴대전화 번호 탈취를 통한 금융범죄가 잦아지면서, FBI 등 수사기관이 경고에 나섰습니다. FBI에 따르면 2021년 한 해에만 미국에서 SIM 스와핑으로 인한 피해액이 6,800만 달러(한화 약 800억 원)에 달해 전년도(1,200만 달러)에 비해 5배 이상 급증했습니다. 실제로 트위터의 CEO였던 잭 도시(Jack Dorsey)도 2019년에 SIM 스와핑 공격을 당해 자신의 휴대폰 번호를 해커에게 탈취당했고, 그로 인해 트위터 계정이 해킹되는 일이 벌어지기도 했습니다. 이처럼 미국에서는 주로 암호화폐 투자자나 유명인을 노린 SIM 스와핑이 사회 문제로 대두되었고, 이동통신사들도 대응책으로 계정 PIN 번호 설정 등 보안을 강화하고 있습니다.
- 유럽: 유럽에서도 국제 해커 조직에 의한 SIM 해킹 범죄가 크게 적발된 사례가 있습니다. 2020년에 유럽 경찰기관 Europol은 다국적 해커 조직이 SIM 스와핑으로 전 세계 수천 명 (유명 인플루언서, 스포츠 스타, 음악가 등 포함)의 휴대폰 번호를 탈취해 약 1억 달러 상당의 암호화폐를 훔친 사건을 수사하여 관련자 10명을 체포했습니다. 이 조직은 이동통신사를 교묘히 속여 피해자의 번호를 자신의 SIM 카드로 이전시킨 뒤, 피해자의 금융계정, 암호화폐 지갑, 연동된 연락처 등을 몽땅 탈취했다고 합니다. Europol은 이 사건 이후 SMS를 이용한 2단계 인증(문자 인증)의 위험성을 경고하며, 일반 대중에게 가능한 한 문자메시지 대신 더 안전한 인증 방법을 사용할 것을 권고했습니다.
- 아시아: 아시아 지역에서도 유심 해킹에 대한 경각심이 높아지고 있습니다. 일부 국가에서는 가입자 실명제를 강화하고, 이동통신사가 유심 교체 시 추가 확인을 거치도록 의무화하는 등 제도적 대응에 나섰습니다. 예를 들어 인도나 필리핀의 경우 SIM 카드 발급 시 정부 신분증 등록을 의무화하고, 2020년대 들어 필리핀은 'SIM 카드 등록법'을 통과시켜 익명 SIM 사용을 금지하였습니다. 이는 SIM 스와핑을 비롯한 휴대전화 사기를 예방하기 위한 선제 조치입니다. 비록 구체적인 해킹 사건 양상은 나라별로 다를 수 있지만, 은행 OTP 문자 가로채기나 메신저 계정 탈취 등 유심 정보를 노린 범죄 시도가 아시아 각국에서도 보고되고 있어 주의가 필요합니다.
소비자 대응 방법: 유심 해킹 예방법
이번 SKT 유심 해킹 사건을 계기로, 소비자들도 스스로 통신 보안에 신경 써야 한다는 목소리가 커지고 있습니다. 그렇다면 개개인이 유심 해킹으로부터 자신을 보호하기 위해 취할 수 있는 예방 조치는 무엇이 있을까요? 아래에 몇 가지 핵심 방안을 정리해 보았습니다:
- 통신사 계정 및 비밀번호 관리 강화: 우선 이동통신사 **온라인 계정(ID)**이 있다면 남이 함부로 접근하지 못하도록 철저히 보호해야 합니다. SKT 등의 통신사 웹사이트나 앱에 로그인하는 비밀번호는 다른 사이트와 중복되지 않는 강력한 비밀번호를 사용하고 정기적으로 변경하세요. 이는 해커가 통신사 계정을 통해 유심 변경 신청을 하는 것을 막는 기본 수칙입니다. 또한 통신사에 등록된 이메일 주소와 보안 질문도 최신 상태로 관리해, 타인이 내 계정을 가로채기 어렵게 해야 합니다.
- 추가 보안 서비스 및 PIN 설정: 통신사에서 제공하는 유심 보호 서비스나 계정 PIN 기능을 적극 활용하는 것이 좋습니다. 예를 들어 SK텔레콤의 유심보호서비스는 내 유심을 다른 기기에 끼우면 네트워크 접속을 차단해주는 일종의 잠금 장치로, 무료로 가입할 수 있습니다. 이 서비스를 켜 두면 설령 유심 정보가 유출되었더라도 제3자가 복제 유심을 만들어 악용하는 것을 막을 수 있습니다. 이와 유사하게 해외 통신사들은 계정 PIN 번호나 비밀 질문 등을 통해 고객 본인확인을 추가로 거치도록 합니다. 통신사 고객센터에 연락해 “번호 이동이나 유심 재발급 시 추가 확인 절차를 원한다”고 요청하면, 향후 누군가 내 신분을 사칭해 유심을 바꾸려 할 때 한 번 더 본인 인증을 요구하도록 설정할 수 있습니다. 한마디로 통신사 창구에 “내 계정에 자물쇠 하나 더 채워주세요” 하고 부탁하는 셈입니다.
- 이중 인증(2FA) 사용 시 주의점: 다양한 온라인 계정에 이중 인증을 설정해 두는 것은 해킹 피해를 막는 매우 효과적인 방법입니다. 이중 인증은 말 그대로 로그인할 때 두 가지 증명을 요구하는 것으로, 마치 문을 열 때 두 개의 자물쇠를 차례로 여는 것과 같습니다. 첫 번째 자물쇠인 비밀번호가 유출되더라도, 두 번째 자물쇠인 인증코드(또는 생체인식 등)가 남아있어 계정을 지킬 수 있게 해주죠. 다만 SMS 문자로 오는 인증코드에만 의존할 경우 이번 유심 해킹 같은 상황에서는 무용지물이 될 수 있습니다. 따라서 **인증 앱(예: Google Authenticator 등)**이나 보안 키(예: FIDO2 USB키) 등을 활용한 이중 인증을 도입하는 것이 안전합니다. 이러한 방식은 휴대전화 번호 자체를 이용하지 않기 때문에, 설령 유심이 복제되더라도 내 2차 인증 수단은 안전하게 유지됩니다.
- 개인정보 노출 최소화: 해커들은 때로는 소셜 엔지니어링 기법으로 통신사를 속여 유심을 탈취합니다. 이를 막으려면 내 개인정보, 특히 휴대전화 번호나 생년월일, 주소 등의 정보가 인터넷에 불필요하게 공개되지 않도록 해야 합니다b. SNS 프로필이나 블로그 등에 휴대전화 번호를 올려두면 범죄자들의 표적이 될 수 있으니 주의하세요. 또한 낯선 번호로 “통신사입니다. 계정 확인을 위해 비밀번호를 알려주세요” 등의 전화를 걸어올 경우 절대 응대하지 말고, 직접 통신사 공식 고객센터로 전화해 사실 여부를 확인하는 것이 안전합니다.
- 이상 신호에 대한 모니터링: 마지막으로, 내 휴대전화에 이상 신호가 없는지 수시로 살피는 습관이 필요합니다. 갑자기 휴대폰이 ‘서비스 없음’ 상태로 통화와 문자가 되지 않는데 통신사 네트워크 장애 공지가 없다면, 혹시 내 번호가 다른 유심으로 복제되어 누군가 쓰고 있을 가능성을 의심해야 합니다. 이럴 때는 지체 없이 통신사에 연락해 내 계정과 번호 이용 상태를 확인하고, 필요하면 즉시 번호 정지나 유심 폐기 조치를 취해야 합니다. 또한 평소에 통신사로부터 "유심이 교체되었다"거나 "새 기기에서 로그인이 탐지되었다"는 내용의 문자를 받으면 바로 해당 내용의 진위를 확인해야 합니다. 작은 의심 신호를 놓치지 않는 경계심이 큰 피해를 막는 지름길입니다.
SKT 유심 해킹 사건은 디지털 시대에 통신 보안이 얼마나 중요한지 일깨워준 사건입니다. 휴대전화 유심은 단순한 플라스틱 조각이 아니라, 우리의 금융 거래와 개인정보, 그리고 온라인 계정 접근까지 좌우하는 열쇠임을 모두가 깨닫게 되었죠. 이번 사태를 통해 통신사들은 내부 보안 시스템을 한층 강화하고, 정부도 제도적인 재발 방지책을 마련할 것으로 보입니다. 그러나 그와 동시에 개인 소비자들의 각별한 주의와 노력도 필요합니다. 스스로 보안 수칙을 지키고, 새로운 보안 서비스에 관심을 가지며, 의심스러운 정황에 빠르게 대응하는 디지털 리터러시가 요구됩니다.
마지막으로, 기술의 발전으로 편리해진 인증 수단도 양날의 검이 될 수 있다는 점을 기억해야 합니다. SMS 본인인증이나 휴대폰 로그인은 편리하지만, 그 이면에는 이렇게 번호 자체를 노리는 해킹 위험이 도사리고 있습니다. 앞으로는 통신사와 이용자 모두가 함께 노력해 다중 보안장치를 갖추고, “설마 내 번호를 해킹하겠어” 하는 방심 대신 **“그럴 수도 있다”**는 가정하에 대비책을 마련해야 할 것입니다. 철저한 대비와 보안 의식만이 유심 해킹으로부터 우리의 소중한 정보와 자산을 지키는 최선의 방법입니다.