[분석] SKT 해킹 사건, 단순 유출 아닌 ‘사이버 국가안보’ 경고등

2025년 상반기, SK텔레콤을 강타한 대규모 해킹 사건은 단순한 개인정보 유출을 넘어, 국가 안보 차원의 심각한 위협으로 번지고 있습니다. IMEI 유출, 고위 인사의 통화 기록 노출 가능성, 장기간의 해킹 시점 등으로 인해 국민들의 불안은 좀처럼 가라앉지 않고 있습니다.

3년간 진행된 ‘은밀한 침투’

처음엔 악성 코드 4종, 감염 서버 5대 수준으로 알려졌던 이 사건은 2차 조사에서 악성 코드 25종, 감염 서버 23대로 확대되며 충격을 안겼습니다. 특히 단말기 식별번호(IMEI) 약 29만 건이 암호화되지 않은 채 임시 관리 서버에 보관되었다는 사실은 통신사 내부 관리가 얼마나 허술했는지를 보여주는 대목입니다.

복제폰과 금융 피해는 제한적?

IMEI 유출로 복제폰 우려가 커졌지만, 전문가들은 그 실현 가능성을 낮게 보고 있습니다. 제조사 전용 시스템과 암호화된 소프트웨어, 그리고 SKT의 이상 탐지 시스템(FDS 2.0)의 강화 덕분에 실제 금융 피해 사례는 아직까지 확인되지 않았습니다. 하지만 일반 시민들이 느끼는 불안은 여전히 큽니다. 불신은 정보보다 빠르게 전파되니까요.

배후는 ‘중국 해커’? 국가 간 정보전의 서막

더 큰 문제는 ‘왜’ 해킹했는가입니다. 금전적 목적보다 정보 수집과 사이버 전쟁 준비 가능성에 무게가 실립니다. 사용된 악성코드 ‘BPF 도어’는 과거 중국의 해커 그룹들이 정치적 목적으로 사용한 이력이 있으며, 작년 미국 통신사 해킹에 쓰였던 것으로도 알려졌습니다. 전문가들은 고위 공직자의 통화 기록(CDR) 유출을 통한 신분 관계, 동선 파악 목적이 있었을 가능성을 제기하고 있습니다.

SKT의 대응, 무엇이 문제였나

• 해킹 프로그램 발견 후 24시간 이내 신고 의무 위반
• 임시 서버에 암호화 없이 개인정보 저장
• 유심 교체 지연 및 매뉴얼 부재로 혼란 초래
• 결과적으로 40만 명 이상 타 통신사로 이탈

이는 단순한 기업 차원의 문제가 아니라 한국 사이버 안보 전반의 민낯을 보여줍니다. 통신사는 사실상 국가 기반 인프라이자 보안 최전선입니다. 기업의 자율에만 맡겨둘 사안이 아니라는 것이 이번 사건의 교훈입니다.

제도적 허점과 국가 책임

한국은 아직까지 통신 보안 관련 법률이 미비합니다. 반면, 영국은 통신사 보안 의무를 명시하고 위반 시 전체 매출의 최대 10%를 과징금으로 부과합니다. 전문가들은 한국도 ‘사이버 안보법’ 제정과 사이버 보안 전문 인력 양성이 시급하다고 지적합니다. 이제는 기업도, 정부도 기술자가 아닌 ‘보안 전략가’로 변화해야 할 때입니다.

맺으며 – 해킹은 막을 수 없지만, 대처는 선택이다

“해킹은 영원한 창과 방패의 게임이다.” 이번 사건은 이 말의 실체를 우리에게 똑똑히 보여줬습니다. 단기적으론 유심 교체 등 가입자 보호가 시급하지만, 장기적으론 국가적 사이버 안보 인프라 강화와 국제 공조 체계 구축이 필수입니다.

이번 사태는 단지 SKT 한 기업의 위기가 아닙니다. 우리 모두의 ‘디지털 국경’이 뚫렸다는 사실을 잊지 말아야 합니다.