국제 해킹조직이 SK텔레콤의 고객 데이터를 탈취했다며 판매 조건을 내걸었다는 주장이 제기돼 당국과 SK텔레콤이 사실 확인에 나섰다. 16일 보안 전문매체 데일리시큐 보도에 따르면 국제 해킹조직 ‘스캐터드 랩서스$(Scattered Lapsus$)’는 SK텔레콤 고객 데이터를 해킹했다고 주장하며 이를 판매하겠다는 구체적인 조건을 제시해 논란이 커지고 있다. 해당 조직은 전날 오후부터 16일 새벽까지 텔레그램 채널을 통해 연속적으로 메시지와 이미지, 링크를 공개했고, 이 과정에서 100GB 분량의 샘플 데이터를 1만 달러(약 1386만원)에 판매한다고 밝혔다. 나아가 SK텔레콤 측이 대응하지 않을 경우 약 2700만 명의 고객 데이터와 관리자 접근 권한을 전부 공개하겠다고 협박했다. 랩서스$가 제시한 샘플 데이터에는 고객 ID, 이름, 전화번호, 이메일, 주소, 생년월일, 가입일 등 민감한 개인정보가 포함돼 있었으며 일부는 모자이크 처리됐지만 2025년 9월 15일자로 기록된 최신 데이터도 확인됐다. 또한 SK텔레콤 로고가 표시된 관리자 대시보드 화면과 ftp.sktelecom.com 주소로 접속된 FTP 클라이언트 화면도 공개됐다. 해당 FTP 경로에는 backup, docs, logs 등 주요 디렉터리와 설정 파일이 포함돼 있어 실제 서버 접근 흔적일 가능성이 크다는 분석이 제기되고 있다. 해당 조직은 “SK텔레콤 관리자나 CEO가 즉시 연락해야 한다”며 협박 수위를 높였고, 다수의 한국인으로 보이는 인물들이 접촉해왔다고 주장했다. 이 과정에서 협상이 성사되지 않거나 무응답이었던 이들을 조롱하며 욕설을 퍼붓는 모습도 보였다. 일각에선 이들의 행위가 ‘샘플-접촉-협상-판매’로 이어지는 전형적인 데이터 브로커 전략으로 보고있다. 문제가 사실로 확인될 경우 대규모 개인정보가 피싱, 스미싱, 계정 탈취, 소액결제 사기 등 2차 범죄로 악용될 가능성이 클 것으로 보인다. 더불어 이번 사건은 지난 4월 공개된 SK텔레콤 해킹 사건과의 연관성도 주목된다. 당시 조사에선 원격제어 백도어가 설치된 후 3년 가까이 잠복 공격이 이어졌고, 약 2696만 건의 유심(USIM) 정보가 유출된 것으로 발표됐다. 이번에 랩서스$가 주장한 피해 규모 역시 약 2700만 건으로 동일해, 후속 공격인지 신규 침투인지를 확인하는 것이 피해 확산을 막는 핵심 과제로 꼽힌다. 현재 SK텔레콤과 관계 당국은 사실관계를 검증 중인 것으로 알려졌으며 실제 유출로 확인될 경우 국내 통신 보안 체계 전반에 심각한 파장이 불가피할 전망이다.

해커조직 “SKT 고객 2700만명 정보 판매”…당국 “사실 여부 확인 중”

양호연 기자

입력 2025-09-16 08:41

수정 2025-09-16 09:19

추천해요 0
좋아요 0
감동이에요 0
화나요 0
슬퍼요 0

읽기모드
음성지원
다크모드
폰트크기
- 가
- 가
- 가
- 가
- 가
- 가
북마크
공유하기
프린트
기사반응

국제 해킹조직이 SK텔레콤의 고객 데이터를 탈취했다며 판매 조건을 내걸었다는 주장이 제기돼 당국과 SK텔레콤이 사실 확인에 나섰다.

16일 보안 전문매체 데일리시큐 보도에 따르면 국제 해킹조직 ‘스캐터드 랩서스$(Scattered Lapsus$)’는 SK텔레콤 고객 데이터를 해킹했다고 주장하며 이를 판매하겠다는 구체적인 조건을 제시해 논란이 커지고 있다.

해당 조직은 전날 오후부터 16일 새벽까지 텔레그램 채널을 통해 연속적으로 메시지와 이미지, 링크를 공개했고, 이 과정에서 100GB 분량의 샘플 데이터를 1만 달러(약 1386만원)에 판매한다고 밝혔다. 나아가 SK텔레콤 측이 대응하지 않을 경우 약 2700만 명의 고객 데이터와 관리자 접근 권한을 전부 공개하겠다고 협박했다.

협상에 임하지 않으면 SKT 고객 2700만 명 데이터 공개한다는 내용이 포함돼 있다. SNS 갈무리

랩서스$가 제시한 샘플 데이터에는 고객 ID, 이름, 전화번호, 이메일, 주소, 생년월일, 가입일 등 민감한 개인정보가 포함돼 있었으며 일부는 모자이크 처리됐지만 2025년 9월 15일자로 기록된 최신 데이터도 확인됐다.

또한 SK텔레콤 로고가 표시된 관리자 대시보드 화면과 ftp.sktelecom.com 주소로 접속된 FTP 클라이언트 화면도 공개됐다. 해당 FTP 경로에는 backup, docs, logs 등 주요 디렉터리와 설정 파일이 포함돼 있어 실제 서버 접근 흔적일 가능성이 크다는 분석이 제기되고 있다.

해당 조직은 “SK텔레콤 관리자나 CEO가 즉시 연락해야 한다”며 협박 수위를 높였고, 다수의 한국인으로 보이는 인물들이 접촉해왔다고 주장했다. 이 과정에서 협상이 성사되지 않거나 무응답이었던 이들을 조롱하며 욕설을 퍼붓는 모습도 보였다. 일각에선 이들의 행위가 ‘샘플-접촉-협상-판매’로 이어지는 전형적인 데이터 브로커 전략으로 보고있다.

문제가 사실로 확인될 경우 대규모 개인정보가 피싱, 스미싱, 계정 탈취, 소액결제 사기 등 2차 범죄로 악용될 가능성이 클 것으로 보인다. 더불어 이번 사건은 지난 4월 공개된 SK텔레콤 해킹 사건과의 연관성도 주목된다.

당시 조사에선 원격제어 백도어가 설치된 후 3년 가까이 잠복 공격이 이어졌고, 약 2696만 건의 유심(USIM) 정보가 유출된 것으로 발표됐다. 이번에 랩서스$가 주장한 피해 규모 역시 약 2700만 건으로 동일해, 후속 공격인지 신규 침투인지를 확인하는 것이 피해 확산을 막는 핵심 과제로 꼽힌다.

현재 SK텔레콤과 관계 당국은 사실관계를 검증 중인 것으로 알려졌으며 실제 유출로 확인될 경우 국내 통신 보안 체계 전반에 심각한 파장이 불가피할 전망이다.