SKT "주민번호, 해킹과 무관"…가입자 혼란에 진화 나서

SK텔레콤이 유심(USIM·가입자식별장치) 해킹 사태와 관련해 사용자가 저장한 공인인증서, 모바일 티머니 등의 정보는 유출되지 않았다면서 진화에 나섰다. 사용자 저장정보는 SK텔레콤 통신망에 연동되지 않았다는 설명이다.

SK텔레콤은 30일 자사 뉴스룸을 통해 이번 유심 해킹으로 가입자를 식별하고 인증하기 위한 정보만 유출됐다고 강조했다. 유심에 저장된 정보는 크게 가입자식별정보와 가입자가 직접 저장한 정보로 나뉜다. 가입자식별정보는 유심을 개통하고 인증하기 위한 정보로 SK텔레콤 통신망과 연동된다. 나머지 다른 저장정보는 통신망과 관련이 없다는 것.

유심은 가입자 식별번호 등을 저장해 기기를 인증하거나 네트워크를 연결할 때 필요한 장치다. 따라서 유심에 저장되지 않은 이름, 주민등록번호, 주소 등 개인정보는 이번 해킹 사고와 관련이 없다는 것이 SK텔레콤의 설명이다. 유심을 복제하더라도 유심에 저장되지 않은 은행·가상자산 계좌 정보를 복제하는 것은 아니라는 설명도 덧붙였다.

과학기술정보통신부가 꾸린 민관합동조사단이 전날 발표한 1차 조사 결과를 보면 이번 유심 정보 해킹 사고에서 빠져나간 정보는 가입자 전화번호, 이동가입자식별번호(IMSI) 등이다. 1차 조사를 기준으로 단말기 고유식별번호(IMEI)도 유출되지 않았다. 과기정통부는 SK텔레콤이 시행 중인 유심보호서비스에 가입할 경우 유심을 복제해 불법 행위를 하는 심 스와핑을 방지할 수 있다고 발표했다.

SK텔레콤은 유심 불법 복제로 인한 피해를 막기 위해 3중 보호장치를 적용 중이다. 유심보호서비스 가입, 비정상인증시도차단(FDS) 강화, 유심 교체다. 유심보호 서비스는 유심과 단말을 하나로 묶어서 관리하는 서비스다. 유심을 복제해 이용자가 원래 사용하던 단말이 아닌 다른 단말로 기기를 변경하려는 시도가 보인다면 이를 차단하는 보안 장치다.

FDS는 누군가 불법으로 복제된 유심으로 통신망 인증 시도를 할 경우 이를 실시간으로 모니터링하고 차단하는 시스템을 뜻한다. 예컨대 사용자가 서울에 있어도 부산에서 갑자기 위치 등록 신호가 잡힌다면 이를 비정상으로 판단해 인증을 차단하는 식이다.

SK텔레콤은 유심보호서비스는 유심 교체와 동일한 효과의 보안 장치라고 설명했다. 유심 교체를 무료로 이용자에게 제공하는 이유는 FDS와 유심보호서비스 외에 추가 안전장치를 원하는 이용자의 요구를 반영한 것이라고 안내했다.

아울러 유심 정보만으로 금융자산을 탈취할 수 없다고 짚었다. 탈취한 유심 정보만으로 복제 유심을 만들더라도 FDS와 같은 보안 솔루션이 통신망을 보호해 SK텔레콤 망에 접속할 수 없다는 것이다. 또한 불법 복제 유심으로 심 스와핑에 성공했다고 해도 금융거래에 필요한 개인정보나 비밀번호 등은 없어 추가적인 범죄행위 없이는 금융자산을 탈취할 수 없다고 덧붙였다.

사용자가 모르는 사이 복제된 휴대폰으로 통화나 문자를 사용할 수 있는 것도 아니라는 설명. 동일한 번호의 2개 회선이 동시에 통신망 시스템에 접속하는 건 불가능하다고 선을 그었다. 다만 휴대폰 전원이 꺼져 있는 경우 복제폰이 통신망 시스템에 접속할 가능성은 있다. SK텔레콤은 이러한 가능성을 차단하는 것이 FDS와 유심보호서비스라고 강조했다.

유심 비밀번호 설정과 PASS의 애플리케이션(앱) 명의도용 방지 서비스는 이번 사고와 관련이 없다. 유심 비밀번호는 물리적으로 유심을 도난당하거나 탈취당했을 때 다른 사람이 쓰지 못하도록 하는 보안 기능이다. PASS 앱 명의도용 방지 서비스는 범죄자가 탈취한 개인정보를 활용해 휴대폰 개통을 막는 서비스다. 유심정보를 악용하는 범죄를 차단하는 유심보호서비스와는 무관한 기능이다. PASS 앱 명의도용 방지 서비스를 설치하더라도 유심보호서비스에 가입할 필요가 있다는 것이다.

이번 유심 정보 해킹 사고로 인한 범죄 피해는 확인되지 않고 있다. SK텔레콤은 유심 정보가 유출돼 불법 유심 기기 변경으로 인한 피해가 발생할 경우 회사 측이 책임지겠다고 약속했다.

박수빈 한경닷컴 기자 waterbean@hankyung.com