국내 통신사, 세계 7대 사이버 공격 '오명'…글로벌 보안기관의 '경고'

경제·산업 입력 2026-01-07 14:46:08 수정 2026-01-07 16:22:16 김혜영 기자 0개

[서울경제TV=김혜영기자] 지난해 발생한 SK텔레콤(SKT)의 해킹 사고가 글로벌 보안 업계에서 ‘2025년 가장 치명적인 공격’ 중 하나로 꼽혔다. 7일 보안업계와 외신에 따르면, 글로벌 보안 컨설팅 기업 ‘사이버 매니지먼트 얼라이언스(CMA)’는 최근 보고서를 통해 SKT 해킹 사고를 지난해 발생한 글로벌 7대 사이버 공격 중 6위로 선정했다.

보고서는 이번 사태를 단순한 정보 유출이 아닌 ‘구조적 보안 실패’로 규정했다. 통신 서비스의 심장부인 홈 가입자 서버(HSS)가 침해되면서 한국 인구 절반에 달하는 약 2,696만 명의 가입자 식별정보(IMSI)와 유심(USIM) 인증키가 해커의 손에 무방비로 노출됐기 때문이다. CMA는 이를 통해 해커가 기기 복제는 물론 대규모 감시 권한까지 얻었을 가능성을 경고하며, 사태의 심각성을 강조했다.

CMA는 “해커들이 이를 통해 2차 보이스피싱과 스미싱, 기기 복제 등은 물론 대규모 감시를 수행할 수 있는 권한을 얻었을 가능성이 있다”며 "유출된 데이터를 통해 2차적인 보이스피싱, 스미싱은 물론 기기 복제 등 심각한 금융 범죄로 이어질 수 있다"는 우려를 표했다. 이어 “약 2,696만건의 가입자식별변호(IMSI)와 유심 관련 데이터가 노출돼 한국 인구의 절반가량에 영향을 미쳤다”고 덧붙였다.

실제로 정부 조사 결과 SKT의 보안 관리는 처참한 수준이었다. 해커는 무려 3년(987일) 동안 내부망을 장악하고 33종의 악성코드를 심어 9.82GB의 데이터를 빼갔지만, SKT는 이를 전혀 인지하지 못했다. 심지어 유심 복제의 핵심인 인증키를 암호화도 하지 않은 ‘평문(Plain Text)’ 상태로 방치해 해커에게 고속도로를 깔아준 꼴이 됐다.

정부는 사안의 중대성을 고려해 통신 분야 역대 최대 규모인 1,348억 원의 과징금을 부과하며 철퇴를 내렸다. SKT는 사고 인지 후 석 달여간의 위약금 면제와 8월 한 달 요금 할인 등 보상안으로 사태 매듭짓기에 나섰다.

업계 관계자는 “글로벌 시장에서 최악의 공격 사례로 낙인찍힌 것은 1위 통신사로서 뼈아픈 치욕”이라며 “단순 보상을 넘어 근본적인 인프라 재설계가 시급하다”고 지적했다. 이어 "2025년은 클라우드 생태계와 통신 공급망을 겨냥한 공격이 정점에 달한 해"라며 "SKT와 같은 기간통신사업자가 무너질 경우 국가 전체의 디지털 안보가 위협받는 만큼, 보안 인프라 강화가 필요한 시점"이라고 제언했다./hyk@seadaily.com

기자 전체보기