작년 이맘때, 저는 아버지한테서 전화를 받았습니다.
“야, 나 SKT인데 유심 교체해야 한다던데 이게 뭐야?”
처음엔 보이스피싱인 줄 알았어요. 그런데 뉴스를 찾아보니 진짜였더라고요.
2025년 4월 19일, SKT 서버에서 악성코드로 인한 유심 관련 정보 유출 정황이 발견됐고, IMSI(국제이동가입자식별번호), ICCID, 유심 인증키 등 유심 복제에 활용될 수 있는 핵심 정보가 빠져나갔습니다. Wikipedia SKT 알뜰폰까지 합치면 피해 규모는 2,500만 명 이상.
그로부터 1년이 지났습니다. 지금 여러분의 스마트폰은 안전할까요?
✅ 지금 내 상황이 안전한지 30초 확인
아래 3가지를 먼저 체크해보세요.
| 확인 항목 | 안전 | 주의 필요 |
|---|---|---|
| 유심보호서비스 가입 여부 | ✅ 가입됨 | ❌ 미가입 |
| 유심 교체 여부 (2025년 4월 이후) | ✅ 교체 완료 | ❌ 미교체 |
| 스미싱 문자 수신 시 클릭 여부 | ✅ 클릭 안 함 | ❌ 클릭한 적 있음 |
하나라도 주의 항목에 해당한다면, 이 글을 끝까지 읽어보세요. 조치하는 데 5분도 걸리지 않아요.
SKT 유심 해킹, 1년 전에 무슨 일이 있었나
사건을 처음 접하는 분들을 위해 핵심만 짚겠습니다.
2021년 6월 — 해커가 SKT 핵심 서버(HSS)에 악성코드를 심기 시작했습니다. 방화벽을 우회하는 ‘BPFDoor’라는 백도어였는데, 정상 프로세스로 위장해 약 3년간 탐지를 피했어요.
2025년 4월 18일 — SKT 내부 담당자가 트래픽 이상 징후를 처음 감지했습니다.
2025년 4월 22일 — 일반 사용자들에게 공식 공지가 나왔습니다. 이미 나흘이 지난 후였죠.
최종 조사 결과, 감염된 서버는 23대, 발견된 악성코드는 25종이었으며 유출된 유심 정보는 IMSI 기준 약 2,696만 건에 달했습니다. Igloo SKT 알뜰폰 가입자까지 합친 전체 가입자 수를 뛰어넘는 수치입니다.
제가 이 사태를 지켜보면서 가장 충격적이었던 부분은 따로 있었는데요.
SKT는 유심 인증키 값 암호화를 GSMA(세계이동통신사업자협회)에서 권고하고 있고 KT, LGU+도 암호화해서 저장하고 있었는데, SKT만 암호화 없이 저장하고 있었다는 사실이 드러났습니다. Namu Wiki
그러니까, 막을 수 있었던 사고였다는 거예요.
심스와핑이 뭔지 모르면 더 위험합니다
유심 정보가 새나가면 어떤 피해가 생기는지 아직도 잘 모르는 분들이 많더라고요. 핵심 개념인 **심스와핑(SIM Swapping)**을 꼭 알아두셔야 해요.
심스와핑은 유출된 유심 정보로 복제 유심을 만들어서 다른 단말기에 꽂아 쓰는 공격이에요. 이게 성공하면 피해자의 진짜 폰은 갑자기 통화가 끊기고, 해커의 복제폰이 그 번호를 가로채 버립니다.
그 번호로 무엇을 할 수 있냐고요?
- 카카오톡 재설치 → 계정 탈취
- 은행 앱 본인인증 SMS 수신 → 계좌 접근
- 네이버·구글 계정 비밀번호 재설정 → 이메일 탈취
- 가상화폐 거래소 OTP 탈취
실제로 2021~2022년 KT를 통한 심스와핑 사례에서 피해자는 퇴직금으로 투자한 2억 7천만 원 상당의 가상화폐를 모두 탈취당하는 피해를 입었습니다. Wisoft
⚠️ 주의할 점은 심스와핑이 새벽 시간대에 주로 발생한다는 거예요. 자다가 깨서 폰을 봤더니 통신이 끊겨 있다면, 즉시 통신사에 연락해야 합니다.
2026년 4월 기준 — 지금 당장 해야 할 점검 5단계
① 유심보호서비스 가입 확인 (SKT 이용자 필수)
SKT는 2025년 5월부터 전 가입자를 대상으로 유심보호서비스를 자동 가입 처리했습니다. 그런데 해외 로밍을 자주 쓰거나 그 이후 유심을 교체한 경우, 서비스가 해제됐을 수도 있어요.
확인 방법: T월드 앱 → 상단 검색창 → ‘유심보호서비스’ 검색 → 활성화 여부 확인
가입돼 있으면 안심, 안 돼 있으면 그 자리에서 바로 무료 가입하세요.
② 유심 교체 여부 확인
유심 교체는 유출된 인증 정보를 완전히 무력화하는 가장 확실한 방법입니다. 유심을 새로 발급받으면 IMSI, 유심 인증키 등이 변경되어 유출된 기존 정보가 완전히 무용지물이 됩니다. Igloo
아직 교체 안 하셨다면 SKT 공식 대리점에서 지금도 무상 교체 가능합니다. 온라인 예약 후 방문하면 대기 시간을 줄일 수 있어요.
③ 금융 앱 로그인 방식 점검
인증 방식이 ‘SMS 문자 인증’ 하나뿐인 금융 앱은 특히 위험합니다. 주요 금융 앱에서 아래 설정을 확인하세요.
- 토스·카카오페이: 생체인증(지문/얼굴) 활성화 여부
- 은행 앱: 기기 고정 인증 or OTP 앱 등록 여부
- 주식·코인 앱: ARS 또는 앱 기반 2단계 인증 적용 여부
SMS 문자 인증 단독 사용 중이면 반드시 OTP 앱으로 바꿔두세요. 제가 직접 설정해봤을 때 각 앱마다 3~5분 이내로 변경이 가능했어요.
④ 카카오톡 로그인 기기 확인
복제 유심 공격이 성공하면 카카오톡이 다른 기기에 재설치될 수 있습니다. 정기적으로 확인하는 습관이 필요해요.
확인 방법: 카카오톡 → 우측 하단 [···] → 설정 → 개인/보안 → 카카오계정 → 기기 관리
낯선 기기가 등록돼 있으면 즉시 로그아웃 조치하세요.
⑤ 의심 문자·전화 대응 기준
SKT 해킹 이후 관련 사칭 스미싱이 크게 증가했습니다.
주의해야 할 패턴:
- “유심 해킹 피해 보상을 위해 본인 확인이 필요합니다” (링크 포함)
- “SKT 고객센터입니다. 유심 교체를 위해 정보를 확인해드리겠습니다”
- 114가 아닌 다른 번호로 오는 유심 관련 안내 전화
SKT의 공식 유심 관련 안내는 114 채널에서만 옵니다. 다른 번호로 오는 건 전부 의심하세요.
KT·LGU+ 이용자는 괜찮을까요?
이번 사태는 SKT 해킹이었지만, KT와 LGU+도 완전히 안전하다고 보기는 어렵습니다.
2024년 7월과 12월에도 한국 내 통신사들이 BPFDoor 공격의 타깃이 된 바 있습니다. Namu Wiki 공격 도구 자체가 오픈소스로 공개돼 있어서 누구나 사용할 수 있는 상태거든요.
통신사와 무관하게 모든 스마트폰 이용자가 아래 습관을 갖는 게 좋습니다.
- 주기적으로 금융 앱 로그인 기기 점검
- SMS보다 OTP 앱 기반 2단계 인증 사용
- 출처 불명의 링크는 클릭하지 않기
- 카카오톡 로그인 기기 월 1회 확인
Q&A — 가장 많이 받은 질문
Q. 유심 교체했으면 100% 안전한가요? 유심 복제(심스와핑) 위험은 사라지지만, 스미싱·보이스피싱 같은 2차 공격은 별개입니다. 유심 교체 + 유심보호서비스 가입 + 금융 앱 2단계 인증 세 가지를 동시에 해두는 게 가장 좋아요.
Q. 알뜰폰(SKT망)도 해당되나요? 네, SKT망을 사용하는 알뜰폰 고객의 유심도 무상 교체 대상에 포함됩니다. Namu Wiki 이용 중인 알뜰폰 통신사 고객센터에 문의하면 교체 절차를 안내받을 수 있어요.
Q. 아직 2차 피해가 발생했다는 얘기는 없던데, 이제 안심해도 될까요? SKT는 공식적으로 “확인된 악용 사례는 없다”는 입장이에요. 하지만 유출된 정보는 다크웹 등에 유통될 수 있고, 언제 어떻게 활용될지 알 수 없습니다. 지금이라도 조치해두는 게 후회 없는 선택이에요.
마무리
SKT 유심 해킹 1년, 지나간 사고라고 잊어버리기 쉬운 시점입니다.
하지만 유출된 정보는 사라지지 않아요. 한번 빠져나간 데이터는 언제든 조합되고 활용될 수 있습니다.
오늘 이 글을 읽으셨다면, 딱 두 가지만 먼저 하세요.
- T월드 앱에서 유심보호서비스 가입 여부 확인
- 토스·카카오페이·은행 앱에서 로그인 기기 점검
5분이면 됩니다. 나중에 후회하는 것보다 지금 5분이 훨씬 낫더라고요.
추가로 읽어볼 만한 글
- 부모님 스마트폰 보이스피싱 예방 설정 방법 (안드로이드 필수 보안 설정)
- 부모님 스마트폰 긴급 연락처 설정 방법 (위급 상황 대비 필수 기능)
- 유심보호서비스 vs 유심 교체, 부모님 유심보호서비스 신청법
스마트폰과 IT 기기를 오랫동안 직접 구매하고 사용해온 일반 사용자입니다.
화려한 스펙보다 “실제로 쓸 만한가”를 더 중요하게 봅니다.
갤럭시와 아이폰을 병행 사용하면서 느낀 점, 설정하면서 막혔던 것들,
부모님 폰 세팅해드리며 깨달은 것들을 솔직하게 정리하고 있습니다.
특히 스마트폰을 어렵게 느끼는 분들, IT 초보자, 부모님 세대를 위한
쉽고 실용적인 가이드에 집중합니다.
“나도 해봤는데 이렇더라” — 그 한마디가 이 블로그의 시작이었습니다.
📩 문의 및 제보: kim.wasp@gmail.com