Chloe : History

12일부터 시행, 유심 교체와 재설정 중 선택
연락처, 인증서, 티머니 등 저장 정보 유지해 편의성↑

[보안뉴스 조재호 기자] SK텔레콤이 실물 유심을 교체하지 않고, 내부 정보만 변경해 유심 교체와 같이 불법 복제 방지 효과를 내는 ‘유심 재설정’을 12일 도입한다. 앞서 ‘유심 포맷’이란 이름으로 개발을 약속한 방식이다.

▲SKT의 유심 재설정 솔루션 개요 [자료: SK텔레콤]

SKT는 11일 일일브리핑을 통해 유심 재설정 솔루션 도입과 함께 내달까지 유심 물량 1077만개를 확보할 예정이라고 밝혔다. 또, 전날 자정 기준 총 143만명이 유심을 교체했고, 유심 교체 신청 예약자는 722만명이다.

‘유심 재설정’은 유심에 담긴 사용자 식별·인증 정보를 변경하는 방식이다. 정보가 변경되면 기존에 유출된 정보를 복제하더라도 시스템 접속이 차단된다. 사용자 저장 정보는 유지해 유심 교체와 달리 금융인증서나 티머니, 연락처 등을 재설정할 필요가 없다는 장점이 있다. 유심과 이심 사용자 모두 이용할 수 있다.

SKT는 “‘유심 재설정’은 실물 유심 교체와 동등한 보안 효과를 지녔고, 유심 교체 대비 더 나은 편의성을 보유했다”라는 설명이다. 고객들은 상황에 맞춰 유심 교체나 재설정 중 하나를 선택할 수 있다.

재설정은 기존 유심 교체와 마찬가지로 ‘유심 교체 문자’를 받고 T월드 매장을 방문한 고객들 대상으로 제공된다. 재설정 고객이 실물 유심으로 교체를 원할 경우, 전국 T월드 매장에서 1회 무료 교체할 수 있다.

SKT는 12일부터 유심 교체 예약 고객 일정 안내를 확대한다. 재설정 솔루션과 이심 셀프 개통 확대 등을 통해 고객들의 유심 교체 요구를 빠르게 해결한다는 계획이다.

또 SKT는 이동통신 기술 연구 단체인 6G 포럼, 오픈 랜 인더스트리 얼라이언스(ORIA·Open RAN Industry Alliance)와 함께 유심 재설정 기술의 유효성을 확인했다고 밝혔다.

https://www.boannews.com/media/view.asp?idx=137205

🛡️ 사건 개요

• 인증서 유출 경위: 2025년 4월 말, 북한발 악성 파일에서 CJ올리브네트웍스의 디지털 서명이 발견되었습니다. 디지털 서명은 소프트웨어의 신뢰성을 보장하는 수단으로, 이를 통해 악성 파일이 정상적인 소프트웨어로 위장될 수 있습니다.
• 해킹 주체: 보안 업계는 이번 공격의 배후로 북한의 해킹 조직 '김수키'를 지목하고 있습니다. 중국 보안 기업 레드드립팀(RedDrip Team)은 김수키가 탈취한 인증서를 활용해 한국기계연구원을 공격하려 했다는 정황을 공개했습니다.

🔐 CJ올리브네트웍스의 대응

• 인증서 폐기 및 신고: CJ올리브네트웍스는 2025년 5월 6일 밤 11시 59분에 한국인터넷진흥원(KISA)으로부터 인증서 악용 정황을 통지받고, 다음 날 오전 10시 58분에 해당 인증서를 즉시 폐기했습니다. 이후 오후 3시 30분에 KISA에 정식으로 신고를 완료했습니다.
• 피해 범위: 회사 측은 유출된 인증서가 소프트웨어 개발·배포 용도로만 사용되었으며, 고객 정보나 개인정보 유출은 없었다고 밝혔습니다. 다만, 유출 시점부터 폐기 시점 사이에 발생한 피해 여부에 대해서는 추가 조사가 진행 중입니다.

https://www.boannews.com/media/view.asp?idx=137157

​예일 뉴헤이븐 헬스 시스템(Yale New Haven Health System, YNHHS)은 2025년 3월 8일, 약 555만 명의 환자 정보를 침해당하는 대규모 사이버 공격을 겪었습니다. 이 사건은 YNHHS 역사상 가장 큰 규모의 데이터 유출로 기록되었으며, 미국 보건복지부(HHS)에 공식 보고되었습니다 .​

🔍 2025년 3월 데이터 침해 개요

• 사건 일시: 2025년 3월 8일
• 영향 인원: 5,556,702명
• 침해된 정보:
  • 이름, 생년월일, 주소, 전화번호, 이메일
  • 인종 또는 민족 정보
  • 사회보장번호(SSN)
  • 환자 유형 및 의료 기록 번호
• 침해되지 않은 정보: 의료 기록, 치료 정보, 금융 계좌 및 결제 정보는 침해되지 않았습니다 .
• 조치 사항:
  • 외부 사이버 보안 전문가와 협력하여 사고 조사
  • 사법 당국에 사고 신고
  • SSN이 노출된 환자에게 무료 신용 모니터링 및 신원 보호 서비스 제공​Wikipedia+6Patch+6Trumbull Times+6Trumbull Times+2CT Insider+2CT Insider+2

🕰️ 과거 데이터 침해 사례

이번 사건 이전에도 YNHHS는 데이터 침해를 겪은 바 있습니다:​Bitdefender+1SentryBay+1

• 2023년 Welltok 벤더 침해 사건:
  • 사건 개요: YNHHS의 외부 벤더인 Welltok이 사용하는 파일 전송 도구 MOVEit의 취약점을 통해 약 84만 7천 명의 코네티컷 주민 정보가 유출되었습니다 .
  • 침해된 정보: 이름, 생년월일, 사회보장번호, 치료 정보, 건강 보험 정보 등
  • 조치 사항: Welltok은 영향을 받은 개인에게 무료 신용 모니터링 서비스를 제공하였습니다.​CT Mirror

⚠️ 보안 강화의 필요성

YNHHS는 반복되는 데이터 침해 사건을 통해 보안 강화의 필요성을 인식하고 있습니다. 특히, 최근 사건에서는 네트워크 분리 및 민감 정보 암호화와 같은 기본적인 보안 조치의 부재가 지적되었습니다 . 이러한 사건들은 의료 기관이 사이버 보안에 더욱 집중해야 함을 강조하고 있습니다.​Medium+4Bitdefender+4SentryBay+4

📌 요약

https://www.pymnts.com/cybersecurity/2025/yale-new-haven-health-system-reports-data-breach-affecting-5-5-million-patients/

한국인터넷진흥원(KISA·원장 이상중)은 25일 “최근 주요 시스템을 대상으로 해킹 공격하는 사례가 확인되어 위협정보를 공유한다”며 공격 IP와 악성코드 해시값 및 파일정보 등을 공개했다. .

KISA는 이같은 내용을 다음 ‘최근 해킹공격에 악용된 악성코드, IP 등 위협정보 공유 및 주의 안내’란 제목의 보안공지를 보호나라에 게시했다.

이 공지에 SK텔레콤에 대한 직접 언급은 없다. 그러나 SKT 해킹에 사용된 것으로 파악된 BPF도어(BPFDoor) 관련 악성코드를 공개했다는 점에서 이번 사건과 연관된 공지로 해석된다. KISA는 SKT 해킹 사태 관련, 정부 민관합동 조사단에 참가하고 있다.

KISA는 “침해사고 위협 정보를 참고해 자체 보안점검 후, 침입흔적이나 침해사고가 확인되면 보호나라를 통해 즉시 신고해달라”고 당부했다.

▲KISA 보호나라 보안 공지 전문 [자료: KISA]

BPF도어 악성코드는 리눅스나 솔라리스 시스템을 목표로 한 스텔스형 백도어 악성코드다. 2017년 이후 5년가량 탐지되지 않다가 2021년 PwC 연구진에 의해 다시 발견됐다.

트렌드마이크로는 최근 발간한 보고서에서 한국과 홍콩, 미얀마, 말레이시아, 이집트의 통신·금융·소매 산업과 기업을 대상으로 한 BPF도어 공격이 관찰됐다고 밝혔다. SKT를 명시하지는 않았지만, 한국 통신사에서 나타난 악성코드 트래픽에 대한 언급이 있다.

SKT는 22일 유심 관련 정보가 유출된 정황이 있다고 공지했다. 문제가 된 시스템은 가입자 전화번호와 고유식별번호 등 유심 정보와 음성 서비스 제공에 필요한 정보 등을 통합 관리하는 ‘홈가입자서버’(HSS)로 추정된다. 여기에 쓰인 악성 코드가 BRF도어일 가능성이 높다는 것이다.

BPF도어는 리눅스 기반 HSS에 침투해 유심 데이터를 유출할 수 있는 기능을 갖췄다. 또 중국 기반 APT 그룹과 연관된 것으로 알려졌다. 다만, 이번 SKT 사태와 관련해서 공격자로 단정하기는 어렵다. 이들이 이 악성코드를 오픈소스로 공개했기 때문이다.

문광석 한국정보공학기술사회 미래융합기술원장은 “KISA 공지에서 SKT를 언급하진 않았지만, BRF도어 관련 내용을 다뤘다는 점에서 해당 사건 관련 내용으로 보인다”며 “업계에선 내부 백도어에 대한 백신과 엔드포인트 탐지 및 대응(EDR), 확장 탐지 및 대응(XDR) 등을 활용해 전수검사를 진행할 것을 권고하고 있다”고 말했다.

https://www.boannews.com/media/view.asp?idx=137004

📌 SX텔레콤 USIM 정보 유출 사고 경위

⏱️ 핵심 쟁점: 신고 지연

• 유출 사실 확인 시점: 4월 19일 밤 11시 40분
• 신고 시점: 4월 20일 오후 4시 46분
• 경과 시간: 약 17시간 초과 (총 약 46시간 소요, 최초 징후 기준으로는 41시간 경과)

➡️ 「개인정보 보호법 제39조의4」에 따르면, 유출 사실을 알게 된 때부터 24시간 이내 신고해야 하므로, 명백한 신고 지연 발생
➡️ 이는 행정안전부 또는 개인정보보호위원회의 과태료 부과 또는 시정명령 대상에 해당할 수 있음

⚖️ 법적 평가 (개인정보 보호법 연계)

• 관련 법조항: 개인정보 보호법 제39조의4 ②항
• "개인정보처리자는 개인정보 유출 사실을 알게 된 때부터 24시간 이내에 관계 기관에 신고해야 한다."
• 유출 정보: USIM 고유번호, 가입자 정보 일부
  → 이는 단독으로 또는 다른 정보와 결합해 개인을 식별할 수 있는 정보 → 개인정보 해당 가능성 높음
• 위반 소지:
  • 유출 사실 인지: 4월 19일 밤 11시 40분
  • 법정 신고 기한: 4월 20일 밤 11시 40분까지
  • 실제 신고 시각: 4월 20일 오후 4시 46분 → 기한 내처럼 보일 수 있지만, "인지 시점부터의 조치 지연"에 대해 당국은 '즉시 통보' 미이행 여부도 따짐
  • 또한 최초 이상 징후 포착부터 신고까지 46시간이 경과함

🧭 결론

• 신고 지연은 법 위반 소지 있음: 특히 SXT와 같은 대규모 통신사가 24시간 이내 신고 의무를 어긴 것은 중대한 관리 책임 부실
• 정보보호관리체계(ISMS-P) 등 관련 인증에서도 감점 또는 인증 취소 사유로 연결 가능
• 향후 보호위원회 조사 결과에 따라 과태료 부과, 공표, 시정명령 등의 행정처분이 예상됨

2025년 4월 19일 밤 11시경, SX텔레콤은 자사 시스템이 해킹 공격을 받아 일부 고객의 유심(USIM) 관련 정보가 유출된 정황을 확인했습니다. 이 사건은 국내 이동통신사 중 가입자 수 1위인 SX텔레콤에서 발생한 것으로, 보안에 대한 우려가 커지고 있습니다.​

📌 사건 개요

• 발생 시점: 2025년 4월 19일 오후 11시경
• 사고 원인: 해커에 의한 악성코드 공격으로 유심 관련 일부 정보 유출 정황 확인
• 유출 정보: 가입자 전화번호, 인증키 등 유심 관련 정보
• 유출되지 않은 정보: 이름, 주소, 주민등록번호, 이메일 등은 서버에 저장되어 있지 않아 유출 가능성 없음 ​CIO+11SX텔레콤 뉴스룸+11매일경제+11연합뉴스+2동아일보+2다음+2

🛡️ 대응 조치

• 즉각적인 조치: 악성코드 삭제 및 해킹 의심 장비 격리
• 신고: 4월 20일 한국인터넷진흥원(KISA)에 침해사고 신고, 4월 22일 개인정보보호위원회에 개인정보 유출 정황 신고
• 보안 강화:
  • 전체 시스템 전수 조사
  • 불법 유심 기기 변경 및 비정상 인증 시도 차단 강화
  • 피해 의심 징후 발견 시 즉각적인 이용 정지 및 안내 조치
• 고객 보호 서비스: 추가적인 안전 조치를 원하는 고객에게 '유심보호서비스(무료)' 제공

🧩 조사 현황 및 향후 계획

• 정부 대응: 과학기술정보통신부는 정보보호네트워크정책관을 단장으로 하는 비상대책반을 구성하고, 필요 시 민관합동조사단을 구성하여 심층적인 원인 분석 및 재발 방지 대책 마련 예정
• 조사 진행 상황: 현재 정확한 유출 원인과 규모, 항목 등을 지속적으로 파악 중이며, 관계 당국과 협조하여 사건의 진상을 규명하고 후속 대응에 나서고 있음

📞 고객 안내 및 문의

• 유심보호서비스 가입: SX텔레콤 홈페이지 또는 T월드 앱을 통해 무료로 가입 가능
• 고객센터 문의: 080-800-0577

이번 사건은 2023년 LG유플러스 해킹 사고 이후 2년 4개월 만에 발생한 대형 이동통신사 보안 사고로, 통신 업계 전반에 대한 보안 강화의 필요성이 대두되고 있습니다. SX텔레콤은 이번 사고를 계기로 보안 체계를 더욱 강화하고, 고객 정보 보호 방안 마련에 최선을 다하겠다고 밝혔습니다.

현재까지 SX텔레콤은 유심(USIM) 정보 유출 사고와 관련하여 악성코드의 구체적인 유형이나 해킹에 사용된 의심 장비의 상세한 정보는 공개하지 않았습니다. 다만, 회사는 유출 가능성을 인지한 직후 해당 악성코드를 즉시 삭제하고, 해킹이 의심되는 장비를 격리 조치했다고 밝혔습니다.