📉 SKT HSS 서버 해킹 관련 심층 분석과 경제적 손실

 

🔐 왜 HSS서버 인증 키가 암호화되지 않았을까?

 

1. 초기 통신 인프라의 보안 설계 미비

2G, 3G, 4G 등 초기 이동통신 네트워크는 빠른 서비스 제공과 호환성에 중점을 두었으며, 보안은 후순위로 고려되었습니다. 이로 인해 인증 키(Ki)는 HSS와 같은 서버에 평문으로 저장되거나 소프트웨어 기반으로 보호되었습니다. 이는 외부 침입 시 키가 쉽게 유출될 수 있는 구조였습니다.

 

2. HSM(Hardware Security Module) 및 PKI(Public Key Infrastructure)의 부재

 

보안 키를 안전하게 저장하고 관리하기 위해서는 HSM과 같은 하드웨어 기반 보안 장치가 필요합니다. 그러나 많은 통신사들은 비용과 운영 복잡성 등의 이유로 이러한 장비의 도입을 미뤄왔습니다. 그 결과, 인증 키가 소프트웨어적으로만 보호되어 해킹에 취약한 상태로 유지되었습니다.

 

3. NSA(Non-Standalone) 기반 5G 아키텍처의 한계

 

SKT는 당시 NSA 기반의 5G 아키텍처를 사용하고 있었으며, 이는 기존 LTE 코어망을 활용하는 구조입니다. 이러한 구조에서는 IMSI와 같은 가입자 식별 정보가 평문으로 전송되며, 인증 키도 HSS에 평문으로 저장되는 경우가 많습니다. 이는 보안 측면에서 큰 취약점으로 작용합니다.

 

 

SKT HSS 인증서버 정보

 

 

---

 

🛡️ 향후 보안 강화를 위한 권고 사항

 

• HSM 도입 및 키 관리 강화: 인증 키를 HSM에 저장하여 물리적 보안을 강화하고, 키의 생성, 저장, 사용, 폐기 전 과정을 안전하게 관리해야 합니다.
• 5G SA(Standalone) 아키텍처로의 전환: SA 구조에서는 가입자 식별 정보(SUPI)를 암호화하여 SUCI로 전송하므로, 평문 노출을 방지할 수 있습니다.
• 내부 보안 시스템 강화: 서버 접근 제어, 로그 모니터링, 이상 행위 탐지 시스템 등을 도입하여 내부 침입에 대한 대응력을 높여야 합니다.
• 정기적인 보안 감사 및 교육: 보안 취약점을 사전에 발견하고 대응할 수 있도록 정기적인 보안 감사와 직원 교육을 실시해야 합니다.

 

 

유심 IMEI 키

 

 

---

 

📉 SKT 해킹사고에 따른 경제적 손실

 

1. 📱 가입자 이탈

• 사고 직후 이용자 불안 심리 확산 → 경쟁사로의 번호이동 증가
• 업계 추산에 따르면, 한 달간 약 20~30만 명 이탈 추정
• 통신 3사 간 마케팅 경쟁 심화로 인해 이탈 방어 비용 증가

 

2. 💸 위약금 및 배상

• 개인정보 유출 대상이 2,300만 명 이상
• 방통위의 제재에 따라 가입자당 보상금 또는 위약금 가능성
  • 예: 최소 1인당 1만 원 보상 시 → 약 2,300억 원 이상 부담 가능
• 민사소송 또는 집단 소송 발생 시 법적 배상책임 확대 가능성 있음

 

3. 🔧 보안 인프라 개선 및 교체 비용

• HSS 서버 보안 체계 전면 교체 필요
• HSM 도입, 보안 아키텍처 개선 등으로 수백억 원 규모의 추가 투자 발생

 

4. 📉 브랜드 신뢰도 하락 → 주가 변동

• 사고 직후 주가 일시 하락 → 시장 신뢰도 및 장기 이미지 손상
• 광고, 마케팅비용 증가 불가피

 

 

SKT 정보보호 투자비 감액 (출처 : 한국인터넷진흥원, Chosun Biz)

 

 

---

 

💰 종합 손실 추정 (보수적)

 

손실 항목	추정 규모
가입자 이탈 손실	수백억 원 매출 손실
고객 보상 비용	최소 2,000~3,000억 원
보안 개선 투자	수백억 원 이상
이미지/주가 손실	정량화 어려움 (지속적 영향 가능)

 

 

HSS 서버 유출 유심 정보로 복제폰 가능 (출처 : JTBC)

 

 

---

이번 사건은 통신 인프라의 보안 강화 필요성을 다시 한번 일깨워주는 계기가 되었습니다.

 

특히, 인증 키와 같은 핵심 정보의 보호는 통신 서비스의 신뢰성과 직결되므로, 보다 철저한 보안 대책이 요구됩니다.