지난 18일 해킹 공격을 인지한 SK텔레콤이 유심(USIM·가입자식별장치) 무상 교체를 실시하면서 전국적으로 ‘유심 대란’이 빚어지고 있다. 과기정통부 민관합동조사단의 1차 조사 결과에 따르면 단말기 고유식별번호(IMEI) 유출은 없는 것으로 파악됐지만 SK텔레콤 가입자들의 불안감은 좀처럼 사그라들지 않고 있다.
그렇다면 해커가 빼간 유심 정보로 복제폰을 만들고, 예상치 못한 금융 사기와 같은 시나리오가 현실에서 일어날 수 있는 것일까. 조선비즈는 박춘식 아주대 사이버보안학과 교수, 이경호 고려대 정보보호대학원 교수, 염흥열 한국개인정보보호책임자협의회장(순천향대 정보보호학과 명예교수)와 함께 ‘SK텔레콤 유심 정보 해킹 사건’에 대한 궁금증을 정리해 봤다.
-유심(USIM·가입자식별장치)이란 무엇인가.
통신사가 고객을 식별하는 데 필요한 정보를 저장하는 일종의 ‘신분증’이다. 유심에 저장된 정보를 기반으로 통신사들이 과금을 할 수 있다. 스마트폰을 새로 구매하거나, 다른 기기로 교체하는 경우 전원을 켜기 전에 유심을 장착해야 통신이 가능하다. 유심이 등록되지 않은 공기계는 전화를 걸거나 문자메시지를 보낼 수 없다.
-유심 안에는 어떤 정보가 들어있나.
기본적으로 ▲전화번호 ▲유심 인증키 ▲이동가입자식별번호(IMSI) ▲유심 카드 식별자(ICCID) ▲서비스 가입 정보가 들어가 있다. 회사에 따라 ▲단말기고유식별번호(IMEI)가 들어가기도 한다. 통신사는 IMSI와 IMEI 두 가지 정보를 결합해서 가입자를 인증하고 과금한다. 유심 정보를 알면 가입자의 요금 정보나 로밍 기록을 확인할 수 있다. 다만 이용자의 금융 계좌 비밀번호나 공동인증서 비밀번호 등은 유심에 저장되지 않는다.
-SK텔레콤 유심 정보 해킹 사고로 어떤 정보가 빠져나갔나.
정부 발표에 따르면 가입자 전화번호, IMSI 등 유심 복제에 활용될 수 있는 4종의 정보와 유심 정보 처리 등에 필요한 SK텔레콤의 관리용 정보 21종이 빠져나갔다. 다만 유심에 포함된 정보 가운데 IMEI는 유출되지 않은 것으로 확인됐다. SK텔레콤은 이번에 해킹을 당한 음성인증장비(HSS) 외 다른 서버에서 IMEI를 관리하고 있다. IMEI는 제조사가 단말기를 제작할 때 부여하는 15자리 숫자로 된 번호다. 단말기 제조사와 모델, 일련번호 등의 정보를 담고 있다.
SK텔레콤을 공격한 해커의 경우 서버를 통째로 턴 것으로 추측되고 있다. 해킹을 당한 시점과 피해 가입자 수 등은 추가적인 조사를 해봐야 알 수 있다.
-유심 정보를 해킹하면 복제폰을 만들 수 있나.
그렇다. 이번 사고로 발생할 수 있는 최악의 시나리오다. ‘심 스와핑(SIM Swapping·신원 탈취 기술)’이라고도 하는데, 유심 정보를 다른 유심에 그대로 입력하면 원래 가입자가 쓰던 기기는 먹통이 되고, 해커가 갖고 있는 휴대폰이 개통된다. 심 스와핑 의심 사례는 해외뿐 아니라 국내에서도 발생한 바 있다.
복제폰이 있으면 여러 가지 범죄를 저지를 수 있다. 가입자를 사칭해 보이스피싱 범죄를 저지를 수 있다. 해커가 제조한 복제폰에 지인 주소록이 담길 가능성은 낮지만, 복제폰으로 모든 연락이 간다면 주소록을 확보하는 것은 시간문제다.
해커가 복제폰으로 금융 사기를 치려면 가입자의 금융 애플리케이션(앱) 핀 번호, 공동인증서 비밀번호 등의 정보가 더 필요하다. 복제폰이 만들어졌다고 곧바로 내 통장이 털리는 것은 아니라는 의미다.
다만 악성앱 설치 등을 유도하는 스미싱(문자메시지 피싱) 피해를 경계해야 한다. 복제폰 정보와 스미싱으로 확보한 정보를 결합하면 금융사기로 이어질 수 있다. 현재 SK텔레콤은 비정상인증시도 차단(FDS)을 통해 불법적으로 유심을 복제한 뒤 자사 망에 접속 시도가 있는지 사전 탐지·차단 중이다.
-IMEI가 유출되지 않았으면 심 스와핑 우려는 없나.
100% 없어지는 것은 아니지만, 유심보호 서비스에 가입했다면 낮아지는 것은 맞다. IMEI란 단말기마다 부여된 고유한 번호를 의미한다.
해커가 가입자 전화번호와 ISMI 등 다른 정보를 가지고 있다면, IMEI 변경 시도를 하면서 복제폰을 만들려고 할 수는 있다. 하지만 성공 가능성은 낮다. 통신사가 관리하는 HSS 내 입력된 IMEI와 해커가 가진 공기계의 IMEI가 일치해야 복제폰이 만들어지기 때문이다.
유심보호 서비스는 IMSI과 IMEI를 묶어서 관리하기 때문에 유심을 복제했더라도 등록된 IMEI와 정보가 다른 단말에 끼워서 사용하는 것이 불가능하다.
-유심을 꼭 바꿔야 할까.
바꾸길 권장한다. 당장 유심을 교체할 수 없다면 유심 보호 서비스에 가입해야 한다. 유심 보호 서비스는 유심 복제 시도를 원천 봉쇄하는 시스템이다. 2차 피해를 막기 위해서는 악성앱이 설치되지 않았는지 주의가 필요하다. 앱을 내려받을 때도 비정상적인 사이트가 아닌 공식 앱스토어에서 받는 것을 권장한다.
-과거에도 개인정보 유출 사고는 많았는데, 이번 사고의 특징은.
본인인증 수단을 도둑맞았다는 것은 2차 피해 위험이 크다는 것을 의미한다. 해커의 공격 목적을 파악하기는 어렵지만, 금융 사기 등을 통한 금전적 이득이 주된 목적일 가능성 있다. 과거 가입자 개인정보가 털린 KT, LG유플러스 사고와 비교해 해커의 악용 가능성이 높다는 점에서 추가 피해 방지를 위한 대응이 필요하다.