최근 국가기간통신사업자인 SKT에서 해킹으로 인해 고객 유심(USIM) 정보가 유출되었다. 원인은 해당 기업의 대응 능력이 해커의 공격 능력에 뒤져서 발생했다. 국민의 불안이 증폭되고 있다. 국민이 가장 우려하는 것은 혹시 이 유출로 인해 2차, 3차 피해가 발생하지 않을까 하는 점이다. 예를 들어, 내 핸드폰을 통해 인터넷 은행에 있는 내 계좌에서 돈이 불법적으로 이체되지 않을까 하는 우려이다.

지금은 유심(USIM) 유출 사고로 인해 발생 가능한 위험 (risk) 상황을 냉정히 판단하고, 과도하게 불안감을 증폭하기보다 냉정한 대응을 마련하고 시행하는 게 중요하다.

이번 SKT 해킹 사고는 고객의 유심(USIM) 정보를 보관하는 홈가입자서버 (HSS)에 악성코드가 침투해서 휴대폰 번호, 고객 식별정보(IMSI), 고객 인증 정보(K) 등 4종과 그 외 유심 관리 정보 21종이 유출된 것으로 확인되고 있다.

고객 단말을 고유하게 식별하기 위해 사용되는 고객단말식별정보(IMEI)는 장비식별등록 (EIR)서버에 보관되어서 유출되지 않았다고 확인되었다. 다시 말해 장비식별등록 서버는 해킹되지 않았다는 것을 의미한다.

그럼 이러한 유심 정보가 해커의 손에 들어갔을 때 발생할 수 있는 최악의 위험은 무엇인가? 해커가 유심 정보 주입기를 통해 유출된 유심 정보를 새 유심에 주입하게 되면 복제 유심을 만들 수 있다. 그런 다음, 해커는 자신의 복제 단말기에 복제된 유심을 넣고, 복제폰이 SKT 망에 접속하는 소위 심스와핑 (SIM swapping) 공격이 성공하게 된다. 이렇게 되면 해커는 피해 고객의 모든 통신, 문자, 특히 널리 사용되는 2차 인증을 위한 SMS 인증코드를 확보할 수 있다. 

복제폰이 만들고 나서 해커가 할 수 있는 것은 해커가 피해자가 사용하는 웹 사이트의 아이디와 비밀번호를 획득하고 나서, 특정 웹 사이트의 비밀번호를 새로운 비밀번호로 변경하고, 그 이후 해당 웹 사이트에 포함된 개인정보를 추가로 획득할 수 있는 위험이 발생할 수 있다. 이러한 공격이 성공하기 위해서는 해커가 먼저 피해자의 웹 사이트의 아이디와 기존 비밀번호를 획득하는 것이 선행되어야 한다.

이러한 복제폰을 막기 위해 SKT 고객은 어떤 조치를 취해야 할까? 

먼저 유심보호서비스에 가입하는 것이다. 유심보호서비스에 가입하면, 복제폰이 통신망에 접속을 원할 때 SKT 는 복제된 폰으로부터 2가지 정보를 요구하게 된다. 이는 고객식별정보(IMSI)와 고객단말정보(IMEI)를 요구하게 된다. 그런데 해커는 현재 고객단말정보(IMEI)를 알수 없으므로 복제폰이 SKT 통신망에 접속할 수 없다. 소위 심스와핑 공격을 막을 수 있다. 따라서 유심보호서비스를 가입해 이용하는 것은 매우 중요하다. 이에 더해 복제폰에 의한 통신망 접속 시도를 탐지해 대응하는 이상징후 탐지 시스템(FDS)도 운영하고 있다.

두 번째는 무료로 제공하는 유심을 교체받는 것이다. 유심을 교체하게 되면 현재 유출된 유심 정보가 다른 정보로 변경되어 유출된 유심 정보를 무용지물로 만드는 것이다. 현재 유심 물량 확보가 어려운 점을 고려하여, 유심 교체가 당장 어려운 경우 유심교체 예약 서비스에 가입해 추후 유심을 교체하는 것이다. 다만, 해외여행을 가는 고객은 공항에서 유심을 교체해 가는 게 필요하다.

세 번째는 이심(eSIM) 지원이 가능한 최신 기종의 핸드폰을 구매해 이심으로 교체하는 것이다. 유심은 하드웨어 칩인 반면, 이심은 단말에 내장된 칩을 이용하는 경우로 유심과 동일한 효과가 있다. 네 번째는 다른 통신사로 번호 이동을 하는 것이다. 그러나 이럴 경우 번호 이동 위약금을 부담할 수 있으므로 이 점을 고려해야 한다.

이번 유심 정보 유출 사고로부터 최악의 경우는 해커가 고객단말정보(IMEI)을 획득하여 심스와핑 공격이 성공하는 것이다. 해커에 의해 복제된 폰이 SKT 통신망에 성공적으로 접속할 수 있다. 이럴 경우 발생 가능한 2차 피해는 피해 고객의 통신과 문자, 그리고 2차 인증을 위한 인증코드를 가로채는 것이다. 이럴 경우라도 고객의 인터넷 통장에서 돈이 이체되는 3차 피해로 바로 연결되지 않는다. 다시 말해 이러한 피해가 발생하기 위해서는 미리 스미싱 공격을 통해 잠재 피해 고객에 악성 앱을 설치하게 하여 해당 핸드폰을 장악한 후 모바일 인터넷 앱의 보안 체계에 사용되는 계좌번호, 계좌 비밀번호, 공공인증서 및 관련 비밀번호, OTP, 보안 카드 등의 추가 정보를 해커가 획득해야 한다.

따라서 이러한 3차 피해를 막기 위해 고객에 의한 주의와 정보보호 기본 수칙의 준수가 필요하다. 다시 말해 출처를 알 수 없는 곳에서 앱 설치를 자제하고, 부고 문자에서 오는 링크를 클릭하여 악성 앱이 내려받게 되어 설치되는 것을 막아야 한다. 백신 프로그램을 설치해 악성 앱의 설치를 막아야 한다.

SKT는 해킹을 당한 피해자이기도 하고, 고객 유심 정보가 유출되어 고객에게 잠재적인 피해를 초래할 수 있다는 가해자이기도 하다. SKT는 해킹 원인 분석, 유출된 정보의 규모, 침투를 위한 취약점 확인, 침투 경로 확인 등을 조사를 통해 조속히 밝혀야 한다. 재발 방지를 위한 종합적인 대책 마련하고 시행할 필요가 있다.

법제도 개선도 고려해야 한다. 이번 유출 사고로부터 정부가 정보 유출 사고가 발생하기 이전에 미리 발생을 막을 수 있는 법제도 측면에서 개선할 여지가 없는지를 검토할 때이다. 특히, 정보통신기반보호시설의 지정을 고려해야 하고, 보안 투자를 활성화하며, 침투 시험을 객관적이고 독립적인 정보보호 전문기관에 의해 수행하여 당국에 보고하도록 하는 규제의 개선도 포함해야 한다.

지금은 해킹 사고의 현황 파악과 냉정한 위험 평가 기반의 보안 대책의 수립과 적용이 필요하며 사이버공간의 주요 주체인 이용자, 기업, 정부에 의한 공유된 정보보호 측면의 책임을 다하여 슬기롭게 이러한 어려운 시기를 극복해야 할 것이다. 

• 큐브리드, 오픈소스 DBMS CUBRID 11.4 버전 출시
• 토스뱅크, ‘세금·공과금 내기’ 서비스 새 단장 출시
• 다쏘시스템, ‘3D익스피리언스 컨퍼런스 코리아 2025’ 29일 개최
• 어도비, 파이어플라이 서비스·커스텀 모델 강화...브랜드 맞춤 콘텐츠 대량 제작 지원
• 오픈AI, 각국 정부와 협력해 AI 인프라 확장 나선다