“해킹은 남의 일이라 여긴 순간, 보안은 무너진다.”

2025년 4월 19일, SK텔레콤에서 발생한 USIM 해킹 사건은 업계 전반에 충격을 안겼습니다. 그간 해킹 피해 전력이 없던 SK텔레콤이 정보보호 예산을 줄여온 사이, 결국 고객의 민감한 정보가 유출되는 사고가 발생한 것입니다. 이는 단순한 기술적 이슈가 아닌, 투자 방향과 보안 의식의 문제를 드러낸 ‘인재(人災)’로 평가받고 있습니다. 이번 사건을 계기로, 전 세계 통신사에서 벌어진 유사 사고들과 함께, 우리가 취할 수 있는 대응 방안들을 되짚어 봅니다.

---

SK텔레콤은 해킹 발생 직후 고객 대상 알림을 지연했고, 정보보호 투자 역시 최근 2년간 축소되어 논란이 되었습니다. KT와 LG유플러스가 각각 1,200억, 600억 원 이상의 예산을 보안에 쏟아 부은 것과 달리, SK텔레콤은 R&D 중심의 투자를 지속하면서도 보안에는 비교적 인색했다는 보도가 계속 이어지고 있습니다.  SIM 정보가 해킹된 유사한 사례는 해외에도 존재합니다.

1. 미국 T-Mobile의 SIM 스와핑 피해:

2020년, 미국의 T-Mobile은 고객의 전화번호를 공격자의 SIM 카드로 이전하는 SIM 스와핑 공격으로 인해 약 1,500 비트코인과 60,000 비트코인 캐시(당시 약 3,800만 달러 상당)를 도난당했습니다. 이 사건은 T-Mobile의 보안 시스템의 취약점을 드러냈으며, 이후 3,300만 달러의 배상금이 지급되었습니다.

2.미국 통신사 직원의 내부 공모:

2024년, 뉴저지의 한 통신사 매니저는 고객의 SIM 정보를 무단으로 변경하여 공격자에게 넘긴 혐의로 유죄를 인정했습니다. 이로 인해 고객의 이메일, 소셜 미디어, 암호화폐 계정 등이 해킹되었습니다.

3. 영국 EE의 SIM 스와핑 피해

2025년 4월, 영국의 EE 고객은 본인의 요청 없이 SIM이 교체되어 금융 및 소셜 미디어 계정이 해킹당하는 피해를 입었습니다. EE는 고객의 경고에도 불구하고 SIM 교체를 막지 못해 비판을 받았습니다. 이런 사례들은 SIM/USIM이 해커들에게 얼마나 매력적인 타깃인지를 보여줍니다. 단말기를 바꿔도 유심은 사용자 신원의 핵심 열쇠이기 때문입니다.

4. 중국 해커 그룹 Salt Typhoon의 글로벌 통신사 해킹

2024년, 중국 정부와 연계된 해커 그룹 Salt Typhoon은 미국의 AT&T, Verizon, T-Mobile 등 주요 통신사의 시스템을 해킹하여 통화 및 문자 메타데이터를 수집했습니다. 이로 인해 수백만 명의 사용자 정보가 유출되었습니다.

---

해킹 대응을 위한 5가지 실질적 방안

1. USIM 보안 서비스 기본 설정화: 고객이 직접 설정하지 않아도 기본으로 활성화

2. 이중 인증 및 변경 알림 의무화: 유심 변경 시 반드시 이중 인증과 알림

3. 정보보호 예산의 법제화된 비율 유지: 매출 대비 일정 비율의 보안 예산을 법으로 명시

4. 공격 탐지 AI 시스템의 고도화: 침투 및 이상 트래픽 탐지를 위한 AI 적용 강화

5. 보안사고 대응 매뉴얼 및 투명 고지: 피해 발생 시 24시간 내 전수 알림 제공

---

SK텔레콤의 해킹 사태는 단순한 일회성 사고가 아니라 고객 정보 보호라는 본질적 책임보다 R&D 수익성에 집중한 기업 운영 방향이 낳은 뼈아픈 결과입니다. 그러나 이는 동시에 다른 통신사들에도 경고를 던집니다. USIM은 단지 데이터가 아닌 ‘신원’입니다. SK텔레콤의 USIM 정보 유출 사건은 전 세계적으로 발생하는 SIM 관련 보안 위협의 일환입니다. 이러한 사례들은 통신사들이 보안 시스템을 강화하고, 고객들도 개인 정보 보호에 더욱 주의를 기울여야 함을 시사합니다.