​안녕하세요. 복제폰 우리 삶에 꼭 필요한 서비스를 만드는 매니저S입니다. 2025년 대한민국을 충격에 빠뜨린 한 사건 중 하나가 바로 SK텔레콤 유심 해킹 사태인데요. SKT 전체 가입자 식별번호(IMSI)가 유출되었다는 소식이 퍼지자, 인터넷은 삽시간에 ‘내 폰도 복제된 건 아닐까?’라는 공포로 뒤덮였습니다.문제는 가입자 식별번호(IMSI)는 물론, 단말기 고유번호(IMEI), 이름, 생년월일, 연락처 등 민감한 개인정보가 저장된 서버에 3년간 잠복해 있던 악성 코드가 발견되었고, 이 사실을 통신사도 정부도 몰랐다는 점인데요.​1차 조사에서는 "IMEI 유출은 없으며 복제폰 가능성도 없다"고 했던 정부가, 2차 조사 발표에선 “IMEI 유출 가능성이 있으며, 복제폰 제작은 어렵다”는 식으로 입장을 바꾸었습니다. 때문에 한바탕 유심 교체 소동과 '유심 보호 서비스' 가입 대란 이후, 국민들의 불안은 또 한 번 고조되고 있는데요. 오늘은 과연 ‘복제폰’이란 무엇이며 어떻게 만들어지고, 어떻게 악용되는지 알아보도록 하겠습니다.​복제폰이란?과거에 ‘복제폰’이라 하면 주로 휴대전화 기기 자체를 물리적으로 복제하거나, 전화기의 일련번호를 조작해 동일한 기기로 가장하는 행위를 의미했지만, 오늘날 복제폰의 개념은 나의 휴대전화에 부여된 각종 디지털 식별 정보를 탈취해, 마치 나의 휴대전화인 것처럼 위장한 다른 기기를 말합니다. 우리가 사용하는 스마트폰에는 유심(USIM) 칩이 삽입되며, 이 작은 칩에는 IMSI(국제 가입자 식별번호)와 ICCID(유심 카드 고유번호), 그리고 통신망 인증에 필요한 암호 키 값 등이 저장되어 있는데요. 쉽게 말해 유심 칩은 휴대전화 세계의 ‘디지털 주민등록증’과도 같아서, 통신사는 유심의 IMSI 등을 통해 사용자를 복제폰 식별하고 요금을 부과하며 서비스를 제공합니다.때문에 유심이 장착된 기기가 바뀌어도, 유심에 담긴 식별번호가 동일하다면 통신망은 동일한 가입자(동일한 휴대폰 번호)로 인식하게 되는데요. 따라서 해커가 이러한 유심 정보를 복제해 다른 기기에 넣으면, 통신사 입장에서는 마치 복제된 기기도 원래 사용자 기기인 양 속게 되는 것입니다. 한편 유심에 연계된 휴대전화 단말기에는 IMEI(휴대폰 기기 고유식별번호)가 부여되어 있는데요. IMEI는 휴대전화 제조사가 부여한 일종의 일련번호인데, 통신망에서는 특정 유심(가입자)이 어떤 단말기(IMEI)를 쓰는지도 기록합니다. 현재 이통3사에서 제공하는 ‘유심보호서비스’가 유심의 IMSI와 휴대폰의 IMEI를 함께 관리하는데요. 유심 정보를 몰래 복제해 다른 단말기에 꽂아도 IMEI가 다르면 통신이 차단되도록 설계되어 있기 때문입니다. 이런 이유로 통신사들은 단순히 유심 정보만으로는 불법 복제폰을 만들기 어렵다는 입장을 강조하는 것인데요. 문제는 IMSI뿐 아니라 IMEI까지 해커 손에 들어간다면 앞서 말한 유심보호서비스가 무력화될 수 있고, 심지어 공격자가 똑같은 단말기를 입수하거나 제조사 인증을 우회할 방법을 찾는다면 나와 똑같은 ‘쌍둥이 휴대폰’을 만들어낼 가능성도 존재합니다.​복제폰은 어떻게 만들어 질까?유심 정보의 무단 탈취정부 조사에 따르면, SK텔레콤 유심 해킹으로 유출된 정보는 가입자 전화번호, IMSI (가입자 식별 키), 유심 인증 키 값 등 유심 관련 핵심 정보 25종이 통째로 유출되었는데요. 해커가 이 정보를 모두 손에 넣었다면, 빈 유심 칩에 탈취한 IMSI와 인증 키를 주입하여 피해자와 완전히 동일한 신분을 지닌 복제 유심을 만들 수 있습니다. 복제폰 그런데 만약 IMEI 정보까지 함께 유출됐다면, 유심보호서비스도 무력화될 수 있는데요. IMEI까지 일치시키면 통신사는 ‘정상적인 기기’로 오인할 가능성이 높아지기 때문입니다. 2025년 5월, 과학기술정보통신부가 진행한 2차 조사에서 밝혀진 바에 따르면, 이 정보까지 저장된 서버가 악성코드에 감염되었고, 이에 따라 IMEI 유출 가능성도 배제할 수 없다는 입장을 내놓았습니다. 해킹 없이도 가능한 SIM 스와핑기술적인 해킹보다 오히려 더 자주 시도되는 수법이 바로 SIM 스와핑(SIM Swapping)인데요. 이 수법은 통신망을 해킹하지 않아도, 통신사 시스템의 허점을 교묘히 파고들어 유심을 갈취하는 방식입니다. 해커가 사전에 피해자의 개인정보(주민등록번호, 이름, 휴대폰 번호, 신분증 사진 등)를 확보한 후, 이를 바탕으로 통신사 고객센터나 대리점에 연락해 휴대폰을 분실했으니 새 유심을 발급해달라고 요청합니다. 이 과정에서 보안 검증이 허술하거나 서류가 위조되면, 해커는 피해자의 번호가 연결된 유심을 새로 받게 되는데요. 이 순간, 진짜 사용자의 휴대폰은 먹통이 되고, 해커는 그 번호로 오는 모든 전화와 문자를 가로챌 수 있습니다. 해외에서는 이미 이 방법으로 수천만 원에서 수십억 원에 이르는 피해가 발생한 전례가 있는데요. 우리나라 역시 2022년 기준 40건 이상의 SIM 스와핑 범죄가 발생한 바 있습니다.​복제폰이 실제로 악용되는 방식복제폰이 만들어지고, 해커가 ‘나의 번호’를 손에 넣으면 무슨 일이 벌어질까요?문자 메시지 가로채기: 본인 인증 코드 수신 → SNS, 이메일, 메신저 탈취사회공학 공격 연계: 가족에게 “급히 돈이 필요하다”며 카카오톡 사기금융 서비스 접근: 복제폰 인증번호를 이용해 은행, 증권, 가상자산 계좌 해킹지인 사칭 피싱: 피해자의 번호로 타인을 속이는 2차 피해 유발​실제로 보이스피싱, 스미싱, 메신저 피싱의 상당수가 복제폰 또는 SIM 스와핑과 연결되어 있으며, 전문가들은 가장 우려되는 후속 범죄로 ‘금융사기’를 꼽고 있는데요. 이 모든 시나리오는 단지 기술적인 가능성이 아닌, 이미 현실에서 수차례 발생한 범죄 패턴입니다.​;SK텔레콤 유심 해킹 사건2025년 4월, SK텔레콤 내부 시스템에서 이상 징후가 처음 감지됐는데요. 조사 결과는 충격적이었습니다. 수년 전부터 SKT 서버에 악성코드가 숨어 있었고, 해커는 무려 3년간 가입자 정보에 무단으로 접근하고 있었던 것인데요. 이 공격의 시작 시점은 2022년 6월 15일로 추정되고 있으며, 대한민국 최대 통신사 가입자 정보가 장기간 무방비로 노출된 셈입니다. 유출 정보의 규모초기 발표 당시, 정부와 SKT는 ‘일부 유심 정보만 유출되었으며 IMEI나 개인정보는 안전하다’고 강조했는데요. 하지만 5월 중순 2차 조사 결과, 사태는 훨씬 심각하다는 사실이 드러났습니다.​유출된 데이터 용량: 9.82GB유출 건수: 약 2,695만7천 건 (IMSI 기준)유심 정보 25종 외, IMEI·개인정보 포함 가능성도 확인됨​이는 SKT 전체 가입자 수를 초과하는 수치인데요. 사실상 전 국민의 유심 정보가 털린 것이나 다름없는 규모였습니다. 이처럼 정부와 SK텔레콤의 초기 발표 신뢰성이 흔들리면서, 국민의 불안감은 빠르게 확산되었는데요. 유심 교체를 원하는 대규모 인파가 매장에 몰리며 이른바 ‘유심 대란’이 벌어지기도 했습니다. 4월 28일: SKT, 전 고객 대상 무료 유심 교체 개시5월 복제폰 5일: 신규 가입 및 번호이동 전면 중단5월 19일 하루 동안 33만 명 교체, 누적 252만 명전체 대비 교체율: 약 10% 수준​하지만 가입자 수에 비해 교체 물량이 부족해, 7월까지 1,500만 개 유심 확보 계획이 수립됐지만, 여전히 1,000만 개 부족하다는 지적이 나오고 있습니다.SKT의 대응기술적 보안 강화FDS 2.0(Fraud Detection System) 전면 도입복제 유심이나 이상 단말 접속 시, 실시간 탐지 및 차단SKT뿐 아니라 알뜰폰(MVNO) 사용자에게도 적용됨 고객 보호 프로그램‘안심 패키지’ 제공: 유심 보호 서비스, 무료 유심 교체, FDS 적용 등 포함고객에게 “피해 발생 시 책임지겠다”는 입장 공개‘고객신뢰회복위원회’ 신설 및 전국 2,600개 대리점 핫라인 구축보상 기준 마련, 현장 의견 수렴, 제도 개선 논의 예정 정부의 후속 조치과기정통부·방통위: 6,110개 기관 보안 점검 실시현재까지 SKT 외 유사 사례는 없다고 발표국회 과방위: 청문회 개최, 책임자 출석일부 국회의원: “과징금 및 피해 배상 책임 끝까지 묻겠다”는 입장​내 휴대전화를 지키는 보안 수칙유심보호서비스 가입 또는 유심 잠금 기능 활용SK텔레콤을 비롯해 통신3사는 모두 유심보호 혹은 USIM Lock 서비스를 제공하고 있는데요. 유심의 IMSI 정보와 단말기의 IMEI 정보를 1:1로 묶어두고, 임의로 유심을 다른 폰에 넣어 사용할 경우 통신망 접속을 차단하는 보안 장치입니다. SKT의 경우 이번 사고 후 모든 고객에게 무료로 이 서비스를 제공하고 있으며, 다른 통신사 고객도 대개 마이페이지나 고객센터를 통해 복제폰 신청할 수 있는데요. 유심보호서비스에 가입해두면 적어도 내 유심 정보가 복제되어 다른 장비에서 부정 사용될 가능성을 크게 줄일 수 있습니다. 유심 비밀번호(PIN) 설정거의 모든 유심 칩에는 4자리 숫자로 된 PIN 코드 잠금 기능이 있는데요. 새 유심을 받으면 초기 PIN(보통 0000 등)을 본인만 아는 번호로 변경하고 활성화해두는 것이 좋습니다. 이렇게 하면 휴대전화가 재부팅되거나 유심이 다른 기기에 삽입될 때 PIN을 입력해야 통신 서비스를 쓸 수 있습니다. 물론 이 PIN 자체가 해킹을 막아주는 것은 아니지만, 가로챈 유심을 즉시 써먹으려는 범죄자에게 한 번 더 장벽이 되는 셈인데요. 특히 스마트폰 분실/도난 시에도 유심 PIN이 걸려 있으면, 습득한 사람이 함부로 내 유심을 빼서 다른 폰에 꽂아 쓰지 못하게 할 수 있습니다. 중요 계정의 2단계 인증(2FA) 활성화은행, 가상화폐 거래소, 주요 SNS 계정, 이메일 등 중요 서비스에는 반드시 2단계 인증을 설정해 두어야 합니다. 2단계 인증이란 비밀번호 입력 후 추가로 본인 확인을 거치는 절차로, 흔히 휴대폰 문자나 OTP 앱, 보안키 등을 사용하는데요. 복제폰 공격의 주요 목적이 휴대폰 문자 인증 탈취인 만큼, 가능하면 SMS 대신 OTP 애플리케이션이나 전용 보안키를 활용하는 것이 안전합니다.​​수상한 문자·이메일 링크 주의피싱(phishing)은 복제폰보다도 흔하고 위험한 보안 위협입니다. 메신저 피싱이든 스미싱(SMS 사기)이든 의심스러운 메시지의 링크나 첨부파일을 절대 클릭하지 않는 것이 철칙인데요. 통신사나 은행을 사칭한 문자로 복제폰 ‘미납 요금이 있다’, ‘본인확인 필요’ 등의 URL을 보내올 경우, 가급적 발신번호로 전화하지 말고 직접 공식 고객센터로 문의해 확인해야 합니다. 또한 이메일로 오는 첨부파일도 함부로 열지 말고, 먼저 바이러스 검사 등을 거치는 것이 좋은데요. 악성 링크나 파일 한 번 잘못 눌렀다가 스마트폰에 악성 앱이 설치되면, 그야말로 속수무책으로 내부 정보가 탈취될 수 있습니다.최근에는 문자로 온 링크를 클릭하면 가짜 은행 앱을 깔게 유도하여, 휴대폰을 좀비폰으로 만든 뒤 원격 조종해 돈을 빼가는 조직도 있는데요. 절대 ‘설마 내가 속을까’라고 방심하지 말고 가족들과 서로 조심하도록 당부하는 게 필요합니다. 주기적인 보안 점검과 이상 징후 대응스마트폰도 정기적인 보안 점검이 필요한데요. 사용하지 않는 앱은 삭제하고, 설치된 앱의 권한을 살펴보며 수상한 앱이 백그라운드에서 민감 권한을 갖고 있지는 않은지 확인해야 합니다. 또한 운영체제와 백신 앱을 최신 버전으로 유지해, 이미 알려진 취약점을 악용한 해킹을 차단해야 하는데요. 통신사들이 제공하는 스팸 차단 서비스나 번호 도용 알림 서비스 등을 활용하는 것도 좋습니다. 무엇보다도 내 휴대폰에 평소와 다른 이상 현상이 생기면 신속히 대응해야 하는데요. 갑자기 전화가 ‘먹통’이 되어 “USIM 등록 없음” 같은 문구가 뜬다면, 내 유심이 복제되거나 번호 이동이 발생했을 가능성을 의심해야 합니다.이때는 서둘러 통신사 고객센터에 문의해 유심 상태를 확인하고, 필요하면 해당 회선을 정지시켜야 추가 피해를 막을 수 있는데요. 혹은 모르는 문자로 복제폰 ‘본인 인증 코드’가 계속 날아온다든지, 자신이 신청하지 않은 로그인 알림 등이 오는 경우에도 누군가 내 계정을 노리고 있음을 뜻하니 즉시 비밀번호를 바꾸고 관련 서비스를 점검해야 합니다. ​​eSIM 활용 검토국내에서도 최근 eSIM(내장형 디지털 유심)이 도입되고 있는데요. eSIM은 물리적 칩이 아닌 휴대폰 내장칩에 가입자 정보를 내려받는 방식이라, 복제 및 분실 위험을 줄일 수 있다는 장점이 있습니다. 물론, eSIM도 유심 정보 자체를 해킹당하면 위험성은 마찬가지지만, 물리 유심 교체를 요구하는 심 스와핑 수법에 어느 정도 대응력이 있다는 평가가 있고, SKT 해킹 이후 정부도 eSIM 전환을 언급하고 있는 만큼, 자신의 단말기가 eSIM을 지원한다면 도입을 고려해보는 것도 하나의 방편입니다.​​복제폰은 ‘여러분의 복장을 한 도플갱어’가 지갑과 신용카드를 들고 거리를 활보하는 것과 같은데요. ‘나는 별 일 없었는데?’ 하는 순간에도, 해커는 이미 몇 단계 앞에서 움직이고 있을 수 있습니다. 특히 2025년 현재, 일부 다크웹에서는 AI 음성합성 + 복제폰을 활용한 정교한 피싱 콜봇이 유통되고 있다고 하는데요. 단순한 도용을 넘어 피해자의 음성과 말투를 흉내 내 가족에게 전화를 걸 수 있는 수준으로 발전하고 있는 것입니다. 스마트폰이 ‘나’ 그 자체인 시대!결국 나를 지킬 수 있는 사람은 바로 ‘나’ 자신인 만큼, 보안은 선택이 아닌 필수인데요. 오늘 내 스마트폰의 보안을 점검하고 취약한 부분이 없다면 다행이지만, 만약 소홀했던 부분이 있었다면 지금 바로 개선해 복제폰 보시기 바랍니다.​​​​​​​​​