지난 19일 밤, 국내 이동통신 가입자 2300만명을 보유한 SK텔레콤의 통신망이 악성코드에 노출되며 가입자의 유심(USIM) 정보가 외부로 유출된 정황이 포착됐다.

이는 2년 전 LG유플러스 사태 이후 처음으로 발생한 통신사 개인정보 유출 사건이다. 특히 보안 수준이 높은 것으로 평가받던 SK텔레콤이 뚫렸다는 점에서, 공격 배후로 북한 해커 조직이 다시 도마 위에 올랐다.

해킹 정황 확인된 SK텔레콤, 유심 정보 유출

유심은 통신망에서 이용자 인증을 담당하는 핵심 정보로, 탈취될 경우 타인이 불법 복제 유심을 만들어 각종 범죄에 악용할 수 있다.

회사 측은 “피해를 최소화하기 위해 즉시 해당 번호를 정지시키고 고객들에게 안내 조치를 하고 있다”고 밝혔다. 현재까지 2차 피해나 다크웹 유통 사례는 발견되지 않았다고 덧붙였다.

다만 정확한 피해 규모와 유출된 정보의 구체적인 내용은 아직 조사 중이다. LG유플러스가 2023년 초 해킹으로 39만 명의 고객 정보를 잃은 사례와 유사한 수순을 밟고 있는 셈이다.

배후는 북한? 의심 커지는 정황들

일각에서는 이번 사건이 북한 해커 조직의 소행일 가능성에 무게를 두고 있다. 통신 보안이 비교적 강한 SK텔레콤이 공격 대상이 됐기 때문이다.

과학기술정보통신부와 한국인터넷진흥원은 침해 사고 관련 자료 보존과 제출을 명령하고 전문가를 현장에 급파해 기술적 분석을 지원하고 있다. 이와 함께 비상대책반을 가동하고 민관 합동조사단을 구성해 재발 방지책 마련에 나섰다.

한편, 국가정보원은 지난해 사이버안보 간담회에서 “국내 공공기관을 대상으로 한 해킹 시도 중 80%가 북한 소행으로 파악됐다”고 밝히기도 했다.

북한 해커들의 공격은 이미 가상자산 시장에서도 악명을 떨치고 있다. 미국의 정보보안업체 TRM 랩스는 최근 발표한 보고서에서 “2024년 한 해 동안 전 세계 암호화폐 해킹 피해액 중 약 35%가 북한 소행”이라고 분석했다.

북한은 특히 암호화폐 지갑의 비밀번호와 시드 구문을 탈취한 뒤, 불과 몇 시간 만에 자금을 빼돌리는 수법을 구사해왔다.

그 공격 범위는 암호화폐에 그치지 않고, 통신망까지 확장된 셈이다. 전문가들은 “가상자산 탈취에 이어 통신 인프라까지 위협 대상으로 삼고 있다”며 보다 강도 높은 대응이 필요하다”고 지적했다.