정부 "SKT 해킹, 추가 개인정보 유출 없어…복제폰 못 만든다"

유심 복제 활용 가능 정보 4종
정보처리 관리용 정보 21종 유출
이름·주소·주민등록번호 등
개인정보는 유출 가능성 없어

"복제폰으로 전화·문자하거나
금융자산 탈취는 불가능"

SKT, 내달 유심포맷 서비스
"유심교체와 같은 효과 기대
데이터 백업 없어 훨씬 간편"

SK텔레콤 과 정치권, 정부는 30일 해킹 경위를 정확하게 밝히고 2500만명(알뜰폰 포함)의 피해 대책 마련을 위해 분주했다. 이날 오전 유영상 SKT 대표는 유심 해킹 사태가 발생한 지 12일 만에 국회 청문회에 출석해 해킹 경위를 설명했고, 유상임 과학기술정보통신부 장관은 SKT 본사를 찾아 피해 대책 마련을 주문했다. 다만 정부는 추가적인 개인정보 유출은 없다면서 사태 파장을 최소화하는 데 주력했다.

과기정통부는 전날인 29일 1차 조사 발표를 통해 '현재까지 해킹 사고에 따른 유출은 유심 관련 정보 그쳤으며 이름·주소·이메일·주민등록번호 같은 가입자의 개인정보는 빠져나가지 않았다'고 밝혔다. 또한 향후 추가조사에서도 개인정보 유출이 발견될 확률은 사실상 없다고 밝혔다.

과기정통부 고위 관계자는 아시아경제와 통화에서 "1차 조사 대상이었던 5개의 서버 외에 현재 다른 서버들로 조사를 확대 중이지만, 주민등록번호와 신분증 사본 같은 개인정보 유출은 없었다"며 "앞으로 추가 조사에서도 개인정보 유출이 나올 가능성은 없다"고 했다.

"개인정보 유출 가능성은 없다"

과기정통부는 지난 22~29일 일주일간 1차 조사에선 공격 정황이 있는 SKT 서버 5대를 조사했다. 1차 조사 결과 전화번호·가입자식별키(IMSI) 같이 유심 복제에 활용될 수 있는 정보 4종과 유심 정보 처리에 필요한 관리용 정보 21종이 유출된 사실을 확인했다.

다만 개인정보와 단말기 고유식별번호(IMEI) 유출이 없었기 때문에 해킹으로 빼낸 정보를 악용해 유심을 복제한 다음 다른 휴대전화에 꽂아 불법적 행위를 하는 '심 스와핑'은 불가능하다는 것이 정부 측 설명이다. 이번 해킹 사고 조사를 전담하는 과기정통부 관계자는 "이론적으로는 SKT에서 유출된 정보를 조합해 유심을 복제할 수는 있다"면서도 "복제된 유심을 다른 휴대전화에 꽂아 이른바 '복제폰'을 만든 뒤 전화·문자를 가로채거나 금융자산을 탈취하는 범죄는 SKT가 운영 중인 '비정상 인증시도 차단 시스템(FDS)'이 있어서 불가능하다"고 했다.

FDS는 복제폰을 사전 탐지, 차단하는 역할을 한다. 예컨대 갤럭시 스마트폰을 쓰는 가입자의 유심이 갑자기 아이폰에 연결되거나, 서울에 있는 기지국과 통신신호를 주고받던 단말기가 부산의 기지국에서 통신을 시도할 경우 이상징후로 간주해 휴대전화를 모두 차단한다.

"유심포맷 잘 구현된다면 유심교체 효과 낼 것"

SKT는 최근 유심교체 대란과 관련해 "유심교체와 같은 효과를 내는 '유심포맷' 기술을 개발해 다음달 중순 출시한다"고 밝혔다. 유심보호서비스·유심교체에 이어 세번째 카드로 유심포맷을 꺼낸 것이다. 유심포맷이란 내 휴대전화에서 쓰던 유심의 정보를 일부 변경해 유출된 정보와 다르게 만드는 기술을 말한다. 물리적으로 유심을 바꾸지 않아도 유심교체와 동일한 효과를 거둘 수 있다. SKT 관계자는 "유심을 교체하면 데이터를 백업하거나 애플리케이션을 재설정해야 하는데 유심포맷은 이런 과정이 불필요하다는 것이 장점"이라고 했다. 실제로 SKT 가입자들이 유심교체 후 '티머니' 같은 선불형 교통카드 잔액이 0원으로 표시되는 불편이 벌어지기도 했다. 선불형 교통카드는 근거리무선통신(NFC) 기능을 활용해 유심에 정보를 저장하고 결제를 진행하기 때문에 유심교체 이후 제기능을 못한 것이다.

장항배 중앙대 산업보안학과 교수는 "일부 검증을 거쳐야겠지만 유심포맷이 잘 구현된다면 유심교체만큼 안전할 것"이라고 내다봤다.

전영주 기자 ange@asiae.co.kr