SKT vs KT 해킹사태 비교

공격의 무대: '내부 서버' vs '외부 통신망'

두 사건의 가장 근본적인 차이는 해커가 공격의 무대로 삼은 공간입니다. SKT는 철옹성 같던 내부 시스템이 뚫렸고, KT는 우리 주변의 공기 중에 떠다니는 통신 신호가 가로채졌습니다.

 

SKT 사태는 '요새 내부로 침투한 스파이'에 비유할 수 있습니다. 해커들은 통신사의 가장 깊숙하고 중요한 핵심부, 바로 '홈가입자서버(HSS)'를 직접 겨냥했습니다. HSS는 모든 가입자의 인증 정보와 위치 등을 관리하는 심장부와 같은 곳입니다. 공격자들은 VPN 시스템의 보안 취약점을 통해 내부망에 잠입한 뒤, BPFDoor라는 고도의 스텔스 악성코드를 HSS를 포함한 여러 서버에 심었습니다. 이는 마치 적국의 지휘통제실에 도청 장치를 설치하고 모든 기밀 정보를 빼돌린 것과 같습니다.

 

반면, KT 사태는 '길목을 지키는 가짜 경찰'의 수법과 닮았습니다. 해커들은 KT의 내부 서버를 직접 공격한 것이 아니라, ‘가짜 기지국(펨토셀)’을 이용해 특정 지역의 통신 신호를 가로챘습니다. 이 불법 기지국은 정상 기지국인 척하며 주변 사용자들의 휴대폰을 자신에게 접속하도록 유도합니다. 일단 연결되면, 해커는 중간에서 모든 통신 내용을 엿보거나 조작할 수 있는 '중간자 공격(Man-in-the-Middle)'을 수행합니다. 이는 특정 교차로에 위장 경찰이 나타나 엉뚱한 길로 차들을 유도한 뒤 금품을 터는 행위와 원리상 동일합니다.

 

공격의 도구: '스텔스 악성코드' vs '물리적 장비'

공격의 무대가 달랐던 만큼, 해커들이 사용한 '무기' 또한 판이하게 달랐습니다. 하나는 보이지 않는 소프트웨어였고, 다른 하나는 물리적인 하드웨어 장비였습니다.

 

SKT 공격의 핵심 무기는 'BPFDoor'라는 악성코드였습니다. 이 악성코드는 단순한 바이러스가 아닙니다. 리눅스 시스템의 정상적인 기능인 버클리 패킷 필터(BPF)를 악용하여 방화벽을 우회하고 자신의 존재를 숨기는 백도어입니다. 평소에는 죽은 듯이 잠복해 있다가, 해커가 보낸 특별한 '매직 패킷(Magic Packet)' 신호를 받아야만 활동을 시작합니다. 이 때문에 보안 시스템이 탐지하기 극히 어려워 '스텔스', '유령'과 같은 별명이 붙었습니다. 이는 고도로 훈련된 첩보원이 사용하는 최첨단 은신 기술과 같습니다.

 

반면 KT 공격에 사용된 주된 도구는 '불법 펨토셀', 즉 가짜 기지국이라는 물리적 장비입니다. 펨토셀은 본래 통신 음영 지역 해소를 위한 초소형 기지국이지만, 해커들은 이를 탈취하거나 모방하여 범죄에 악용했습니다. 이 장비는 특정 지역(예: 경기도 광명시, 서울 금천구 등)에 설치되어 그 반경 내에 있는 사용자들만을 표적으로 삼습니다. 즉, 공격이 성공하려면 해커가 물리적으로 특정 장소에 장비를 설치해야 한다는 한계가 있습니다. 이는 디지털 시대에 벌어진 아날로그 방식의 하이테크 범죄라 할 수 있습니다.

 

공격의 목표: '대규모 정보 수집' vs '소액 금전 탈취'

두 해킹의 최종 목표는 뚜렷하게 갈렸습니다. SKT 사태가 미래의 더 큰 범죄를 위한 '전략 자산 확보'에 가까웠다면, KT 사태는 당장의 현금을 노린 '생계형 범죄'의 성격이 짙었습니다.

 

SKT 해커들의 목표는 대규모 개인정보 탈취 그 자체였습니다. 그들은 2,700만 명에 달하는 가입자의 USIM 정보(IMSI, 인증키 등)를 통째로 훔쳤습니다. 이 정보가 당장 금전적 피해로 이어진 것은 아니지만, 그 잠재적 위험은 상상을 초월합니다. 유출된 정보는 유심 복제(SIM Swapping)를 통한 금융 사기, 맞춤형 보이스피싱, 신원 도용 등 2차, 3차 범죄에 악용될 수 있는 '만능 열쇠'와도 같습니다. 이는 국가급 기밀문서를 탈취하여 언제든 상대를 위협할 수 있는 카드를 손에 쥔 것과 같습니다.

 

반면 KT 해커들의 목표는 명확하고 즉각적인 금전 탈취였습니다. 그들은 가로챈 통신 신호를 이용해 피해자들 모르게 소액결제를 일으켜 돈을 빼돌렸습니다. 현재까지 파악된 피해액은 약 1억 7천만 원, 피해자는 278명 수준으로 SKT 사태의 잠재적 규모에 비하면 작아 보입니다. 하지만 피해자 개인에게는 아무런 예고 없이 통장에서 돈이 사라지는 직접적이고 현실적인 공포를 안겨주었습니다. 이는 거대한 음모보다는 동네에서 벌어지는 연쇄 소매치기 사건에 가깝습니다.

 

• SKT 사태: 내부 서버 침투, 스텔스 악성코드(BPFDoor) 사용, 대규모 개인정보(USIM) 탈취, 잠재적·광범위한 2차 피해 우려
• KT 사태: 외부 통신망 가로채기, 물리적 장비(가짜 기지국) 사용, 소액결제를 통한 직접적 금전 탈취, 지역적·제한적 피해 발생

 

SKT 해킹사태 (2025년 4월)

사건 개요

• 발생 시기: 2025년 4월 18일-19일
• 공개 시기: 2025년 4월 22일 (공식 공지)
• 피해 규모: 약 2,695만명의 유심 정보 유출
• 해킹 대상: HSS(Home Subscriber Server) - 가입자 정보 관리 서버

해킹 방식 및 원리

BPFdoor 악성코드를 통한 시스템 침투가 핵심입니다. 이는 Linux 시스템을 대상으로 하는 고도화된 백도어 프로그램으로, 다음과 같은 특징을 가집니다:

• Berkeley Packet Filter(BPF) 기술을 악용하여 네트워크 패킷을 직접 조작
• 시스템 로그에 흔적을 남기지 않는 스텔스 기능
• 원격에서 명령을 실행할 수 있는 백도어 기능

유출된 정보

• ICCID: 유심 카드 고유 식별번호 (20자리)
• Ki값: 유심 카드 암호화 인증키 (128비트)
• OPc값: 운영자별 암호화 키 (128비트)
• IMSI: 국제 모바일 가입자 식별번호

 

SKT 해킹사태 피해 현황 및 유출 정보 범위

 

SKT 해킹사태 발생부터 대응까지의 상세 타임라인

 

KT 해킹사태: 2025년 9월 (현재 진행중)

사건 개요

• 발생 시기: 2025년 6월경부터 (최소 3개월간 지속)
• 공개 시기: 2025년 9월 11일 (KT 공식 발표)
• 피해 규모: 5,561명 IMSI 유출, 278명 소액결제 피해
• 직접 피해: 1억 7,000만원 무단 소액결제
• 공격 방식: 불법 초소형 기지국(가짜 기지국) 운영

해킹 방식 및 원리 (2025년 사건)

불법 초소형 기지국(펨토셀)을 이용한 신종 해킹 방식으로, 다음과 같은 특징을 가집니다:

• 신호가 약한 지역에 가짜 기지국을 설치하여 스마트폰 신호를 가로채기
• 기지국에 연결된 사용자의 IMSI(국제이동가입자식별번호) 수집
• 수집된 정보를 활용한 무단 소액결제 실행
• 약 19,000명이 불법 기지국 신호에 노출, 이 중 5,561명 정보 유출

유출된 정보 (2025년 사건)

• IMSI: 국제이동가입자식별번호 (5,561명)
• 기지국 접속 정보: 약 19,000명의 기지국 연결 이력
• 위치 정보: 불법 기지국 접속 시점의 위치 데이터

 

주요 차이점 비교

	SKT 사태 (2025.4월)	KT 사태 (2025.9월
공격 방식	시스템 해킹 (BPFdoor)	불법 기지국 (펨토셀)
피해 규모	2,695만명 (대규모)	5,561명 IMSI 유출
공격 대상	HSS 서버 (인프라)	무선 통신망 (기지국)
유출 정보	유심 암호화 키 (ICCID, Ki, OPc)	IMSI (가입자식별번호)
직접적 피해	정보 유출 (잠재적 위험)	1억 7천만원 (278명 소액결제)
공격 복잡도	고도화된 시스템 해킹	중급 수준 (불법 장비)
공개까지 기간	4일 (신속 공개)	약 3개월 (늑장 대응)
대응 태도	즉시 인정 및 사과	초기 부인 → 뒤늦은 인정

 

해킹 원리 및 방법 상세 분석

SKT 사태: BPFdoor 악성코드 동작 원리

BPFdoor의 특징:

• 은밀성: 시스템 프로세스 목록에 나타나지 않음
• 지속성: 시스템 재부팅 후에도 동작 지속
• 원격제어: 특정 패킷 시그니처로 원격 명령 실행
• 로그 회피: 시스템 로그에 흔적을 남기지 않음

침투 경로 추정:

1. 네트워크 취약점을 통한 초기 침입
2. 권한 상승(Privilege Escalation)
3. HSS 서버 내부망 접근
4. BPFdoor 설치 및 지속적 데이터 수집

 

KT 사태 : 불법 기지국 공격 메커니즘 

🚨 최신 공격 단계별 분석:

• 불법 기지국 설치: 신호가 약한 지역에 가짜 펨토셀 설치
• 신호 가로채기: 스마트폰이 자동으로 강한 신호의 가짜 기지국에 연결
• IMSI 수집: 연결된 기기의 가입자 식별번호 수집 (5,561명)
• 소액결제 실행: 수집된 정보로 무단 소액결제 (278명 피해)

불법 초소형 기지국을 통한 IMSI 정보 탈취 과정 (2025년 사건)

 

보안 투자 현황 비교

연도	SKT 정보보호 투자	KT 정보보호 투자	비고
2022	627억원	1,022억원	KT가 63% 더 많은 투자
2023	600억원 (-4.4%)	1,218억원 (+19.2%)	SKT는 감소, KT는 증가
2024	600억원 (유지)	1,300억원 (추정)	격차 확대

주요 시사점:

• SKT는 해킹 사태 직전 3년간 보안 투자를 오히려 4.4% 감소
• KT는 심스와핑 사건 이후 보안 투자를 지속적으로 증가
• KT의 보안 투자 규모는 SKT의 약 2배 수준 유지

 

대응 및 후속 조치

SKT의 대응 조치

• 즉시 대응: 해킹 발견 즉시 관련 장비 격리 및 시스템 점검
• 고객 보호: 전체 고객 대상 무료 유심 교체 서비스 제공
• 보상 정책: 피해 고객 위약금 면제 및 손해 배상
• 보안 강화: 유심 재설정 서비스 도입 (12일 후)
• 시스템 개선: HSS 서버 보안 체계 전면 재구축

KT의 대응 조치

• 늑장 대응: 6월 발생 → 9월 공개 (3개월 지연)
• 초기 부인: "개인정보 유출 없다" → 하루 만에 번복
• 대표 사과: 김영섭 대표 직접 사과 및 피해 보상 약속
• 전면 보상: 피해자 전액 보상 + 위약금 면제
• 유심 무상교체: 19,000명 대상 유심 교체 서비스
• 수사 협력: 경찰 수사 전면 협력

 

사태 후 시장 영향

SKT 해킹 사태 후 시장 영향 (2025년 4월)

• SKT: 사태 전 12조 6,297억원 → 사태 후 하락세
• KT: 12조 4,120억원에서 상대적 안정세 유지
• 시가총액 순위가 역전되는 상황 발생
• SKT: 해킹 사태 이후 고객 문의 및 해지 문의 급증
• KT: 반사이익으로 신규 가입 증가 (충성고객 1위 달성)

KT 해킹 사태 후 현재 상황 (2025년 9월)

• KT: 늑장 대응 및 초기 해킹 부인으로 신뢰도 타격
• 정부 대응: 과기정통부 장관 "초동 대응 늦었다" 공개 비판
• 민관 조사단: 정부 주도로 민관 합동 조사단 구성
• 추가 수사: 경찰, 해커 추가 범죄 가능성 수사 중
• 업계 경각심: 통신사 보안 체계 전반적 재점검 분위기

향후 대비 방안:

• 기술적 보안: 제로트러스트 아키텍처 + 불법 기지국 탐지 시스템
• 인적 보안: 직원 보안 교육 강화 + 고객 보안 인식 제고
• 절차적 보안: 다단계 인증 시스템 의무화 + 실시간 이상 거래 감지
• 법제도적 대응: 통신사 보안 기준 강화 + 불법 기지국 처벌 강화
• 투명성 강화: 해킹 사태 즉시 공개 의무화