"유심 바꾸러" SKT 대리점 수백명 줄…꼭 교체해야 할까[Why&Next]

"하루빨리 교체" 대리점 찾아
전문가들 '유심보호'로 효과
'심 스와핑' 금융범죄 우려 속
생체인증 추가절차 도입 필요

"어제 실패해서 유심부터 바꾸고 출근하려고 일찌감치 줄 섰습니다." 29일 서울 중구 한 SK텔레콤 대리점 앞, 유심교체 이틀째인 이날도 오전 8시부터 사람들이 대기하고 있었다. 전날 교체건수는 23만건, 온라인 예약 고객은 263만명에 달했다.

SKT 가입자들이 이처럼 유심교체를 하려는 이유는 보안 우려 때문이다. 이번 해킹 사건으로 빠져나간 것으로 추정되는 가입자 정보는 전화번호·유심 인증키값·이동가입자식별번호·단말기고유식별번호다. 특히 유심에 저장된 정보로 복사폰을 만드는 '심 클로닝'과 주민등록번호·신분증 같은 개인정보를 이미 확보한 해커가 이용자를 사칭해 새 유심을 발급받고 금융범죄에 활용하는 '심 스와핑' 우려마저 나와 가입자들은 하루라도 빨리 유심을 바꾸는 것을 원하는 상황이다.

28일 서울 마포구 한 SK텔레콤 공식 인증 대리점을 찾은 고객들이 유심을 교체하기 위해 기다리고 있다. SK텔레콤은 오늘부터 가입자들에게 유심 무료 교체서비스를 제공할 예정이다. 강진형 기자

"유심교체 안 해도 유심보호서비스로 충분"

SKT 가입자들의 유심교체가 쇄도하고 있지만 이번 사태를 보다 냉정히 살필 필요가 있다는 지적이 나온다. 일부 전문가들은 유심보호서비스 가입만으로도 교체와 비슷한 효과를 낼 수 있는 만큼 지나치게 공포를 느낄 필요가 없다고 한다.

김승주 고려대 정보보호대학원 교수는 "유심 정보가 유출되면 이른바 '복제폰'이 만들어질 수 있는데, 복제폰을 통해 전화·문자 가로채기가 가능하다"며 "전화나 문자로 받은 인증번호로 본인인증 절차를 뚫고 사회관계망서비스(SNS) 계정 등을 빼앗을 수 있다"고 했다.

이어 "복제폰이 통신에 접속하려면 이용자가 휴대전화 전원을 끈 뒤 해커가 복제폰 전원을 켜는 절차가 필요하다"며 "해커가 정부·기관을 사칭해 '휴대전화를 재부팅하라'고 사용자에게 연락하고, 사용자가 전원을 끄는 순간 제어권이 복제폰으로 넘어가게 된다"고 덧붙였다.

복사폰을 만들 수 있는 심 클로닝 범죄를 막으려면 유심보호서비스에 가입해야 한다는 것이 김 교수의 설명이다. 그는 "이는 해커가 유출된 유심 정보로 휴대전화 개통을 할 수 없도록 막는 기능을 한다"며 "이 서비스에 가입하면 유심을 교체할 필요가 없다"고 했다. 다만 "하루 이틀 동안 전화나 문자가 안 온다면 복제폰 개설을 의심해야 한다"고 했다.

장항배 중앙대 산업보안학과 교수도 "복제폰을 만들어 통신망에 접속해도 진위를 따지고 있어서 피해를 차단할 수 있다"며 "위험을 최소화하기 위해 유심을 교체하는 것도 방법일 수 있지만 유심보호서비스만으로 충분해 보인다"고 했다.

2023년에도 LG유플러스 에서 SKT와 비슷한 사건이 터졌었다. 당시 가입자 29만여명의 전화번호와 고유번호 같은 유심 정보를 비롯해 이름·생년월일·주소·이메일 등이 유출됐지만 이를 토대로 복제폰 피해가 신고된 사례는 현재까지 없다.

최악의 경우 '심 스와핑'으로 금융 사고 우려

다만 최악의 경우 심 스와핑도 우려된다. 통신·IT 전문인 김정민 변호사(법무법인 위온)는 "심 스와핑 공격을 당하면 휴대전화를 통한 유료결제가 이뤄지거나, 비대면 거래가 가능한 금융자산까지 위험에 처하게 될 수 있다"며 "극단적으로는 제삼자에 대한 보이스피싱이나 사기에 악용될 여지도 있다"고 경고했다.

박춘식 아주대 사이버보안학과 교수 역시 "SKT 해커가 다크웹 등으로 유출된 개인정보까지 악용할 경우 복제폰보다 더 큰 문제가 발생한다"고 했다. 이어 "유심 교체로 당장의 피해는 막을 수 있겠지만 근본적인 예방을 위해선 본인인증에 추가 절차를 도입 필요가 있다"며 "지문이나 얼굴을 통한 생체인증 절차를 통과하도록 하는 것이 한 방법"이라고 했다.

특히 최근 대규모 해킹 사고가 이어진 만큼 심 스와핑 피해가 현실화할 위험도 커졌다. 지난 19일 콜센터 용역업체인 KS고용정보에서 발생한 해커의 공격으로 3만6000명의 신분증·통장 사본, 주민등록등본, 사진, 자필 서명 등이 다크웹에 노출된 바 있다. 황석진 동국대 국제정보보호대학원 교수는 "다른 곳에서 이미 유출된 개인정보를 가지고 있는 해커 손에 2300만명의 유심 정보까지 들어가게 된다면 심 스와핑 같은 큰 피해가 우려된다"고 했다.

28일 서울 마포구 한 SK텔레콤 공식 인증 대리점을 찾은 고객들이 유심을 교체하기 위해 기다리고 있다. SK텔레콤은 오늘부터 가입자들에게 유심 무료 교체서비스를 제공할 예정이다. 강진형 기자

국내에서는 2022년 초 KT 가입자들의 심 스와핑 관련 피해 사례 약 40건이 경찰에 접수됐다. 휴대전화가 갑자기 멈추고 '단말기가 변경됐다'는 알림을 받은 뒤 적게는 수백만 원에서 많게는 2억7000만원 상당의 가상자산을 도난당했다는 내용이었다.

SKT 관계자는 "최악의 경우 불법 유심 제조에 악용될 소지가 있지만 '비정상 인증시도 차단 시스템(FDS)'을 도입하고, 피해 의심 징후 발견 시 이용을 정지하고 있어 관련 문제가 발생할 가능성은 매우 낮다"고 밝혔다. FDS는 본인의 휴대폰과 같은 유심카드 정보로 복제된 단말기가 작동하면 복제된 단말기의 작동을 강제로 중단시켜 버리는 시스템이다.

그러나 이러한 해명으로도 이용자 불안을 완전히 해소하기는 역부족이다. 정부와 SKT는 유심 정보 유출 규모와 해킹 경위 등에 대한 조사를 진행 중이다. 고학수 개인정보보호위원장은 전날 열린 국회 정무위위원회 전체회의에서 "현재 SKT 침해 서버에 대한 포렌식을 진행 중"이라며 "포렌식은 보통 짧게 2~3개월 걸리고, 시스템이 복잡하면 1년 이상 걸릴 수 있다"고 했다.

전영주 기자 ange@asiae.co.kr