사진제공=SKT유심 정보 해킹 사고가 발생한 SK텔레콤(017670)이 30일 “유심과 자사의 기술적 조치를 둘러싼 부정확한 사실을 바로잡고 정확한 정보를 전달드리고자 한다”며 Q&A 형식의 자료를 배포했다. 회사 측은 “SK텔레콤은 유심보호서비스로 해킹 피해를 막겠다”며 “믿고 가입해 달라”고 당부했다.
정확한 사실관계의 이해를 돕기 위해 Q&A 자료 원문을 그대로 전달한다.
Q1. 유심은 무엇인가요?
A1. 유심(USIM)은 가입자를 식별하고 인증해 이동통신 서비스를 이용할 수 있도록 하는 범용가입자식별모듈(Universal Subscriber Identity Module)입니다. 유심에는 ①가입자를 식별하고 인증하기 위한 정보와 ②가입자가 직접 저장한 정보가 포함돼 있습니다.
①은 국제 이동통신 가입자 식별번호(IMSI, International Mobile Subscriber Identity), 가입자 인증키(Ki) 등 유심을 개통하거나 인증할 때 필요한 정보를 말하며, 이는 망과 연동됩니다. ②는 ‘모바일 티머니’나 인증서 등 사용자가 유심에 저장한 정보로, 이는 망과 연동되지 않습니다. 따라서, 이번 유출 사고와는 관련 없는 정보입니다.
유심은 사용자의 전화번호, 가입자 식별번호 등을 저장해 기기를 인증하거나 네트워크를 연결할 때 필요합니다. 이름, 주민등록번호, 주소 등 개인정보는 포함돼 있지 않습니다.
Q2. 이번 침해 사고를 통해 유출된 유심정보는 무엇인가요?
A2. 4월 29일 과학기술정보통신부 1차 조사 결과에 따르면 가입자 전화번호, 가입자 식별번호(IMSI) 등 유심 정보가 유출됐고, ‘단말기 고유식별번호(IMEI)’는 유출되지 않은 것으로 확인됐습니다. 아울러 과학기술정보통신부는 현재 SK텔레콤이 시행 중인 유심보호서비스에 가입할 경우, 이번에 유출된 정보로 유심을 복제해 다른 휴대폰에 꽂아 불법적 행위를 하는 것(이른바 심 스와핑)을 방지할 수 있다고 밝혔습니다.
Q3. 고객 보호조치로 어떤 것을 하고 있나요?
A3. SK텔레콤은 3중 보호장치를 적용 중입니다. ①비정상인증시도 차단(FDS, Fraud Detection System) 강화, ②유심보호서비스 가입, ③유심 교체입니다.
Q4. 비정상인증 차단 시스템(FDS)이 무엇인가요?
A4. FDS는 누군가 불법으로 복제된 유심으로 통신망 인증 시도를 할 경우 이를 실시간으로 모니터링하고 차단하는 시스템을 말합니다. 다양한 보안 로직을 적용해 비정상적인 인증을 모니터링하고 차단하고 있습니다. 가령, 고객이 서울에 있음에도 부산에서 갑자기 위치 등록 신호가 잡히는 경우 이를 비정상으로 판단해 인증을 차단합니다. SK텔레콤은 사고 발생 직후 이러한 FDS 정책을 최고 보안 수준으로 격상했습니다.
Q5. 유심보호서비스는 무엇인가요?
A5. 유심과 단말을 하나로 묶어서 관리하는 서비스를 말합니다. 유심을 복제해 다른 단말로 기기를 변경하는 시도를 차단하는 보안 서비스입니다. 즉, 유심보호서비스에 가입하면 누군가 유심을 복제하더라도 해당 유심을 사용할 수 없습니다.
Q6. 유심보호서비스를 가입한 사람도 유심 교체를 해야 하나요?
A6. 유심보호서비스는 유심교체와 동일한 효과의 보안 장치입니다. FDS와 유심보호서비스 외에 추가 안전장치를 원하시는 고객에게는 유심 교체를 무료로 제공하고 있습니다. 다만 유심 교체 시 유심에 다운로드 한 정보(공인인증서 등)는 새로 설치해야 하는 불편함이 있습니다.
Q7. 추가로 공개한 소프트웨어 변경(유심포맷) 방안은 무엇인가요?
A7. 유심 소프트웨어를 변경하는 방식(가칭 ‘유심포맷’)도 유심 교체와 동일한 효과를 낼 수 있습니다. 기존 유심 교체는 하드웨어 측면에서 새로운 유심으로 교체하는 방식입니다. 이 경우 애플리케이션 재설정, 데이터 백업 등을 해야 합니다.
이에 반해 현재 SK텔레콤이 개발 중인 ‘유심포맷’은 고객들이 보유한 기존 유심 정보를 소프트웨어 측면에서 변경하는 방식입니다. 물리적으로 유심을 교체할 때와 비교해 고객의 불편함을 최소화하고, 교체 소요시간도 다소 줄어들 것으로 예상됩니다.
다만, ‘유심포맷’ 역시 매장을 방문해 유심 변경과 관련한 시스템 매칭 작업을 거쳐야 한다는 점은 동일합니다. 5월 중순에는 ‘유심포맷’을 선보여 고객 불편을 해소할 수 있을 것으로 전망됩니다.
Q8. 유심 정보 유출만으로 금융자산 탈취가 발생할 수 있나요?
A8. 탈취한 유심정보로 불법 복제 유심을 만들더라도 그것 만으로 SK텔레콤 망에 접속할 수 있는 것은 아닙니다. FDS와 같은 보안 솔루션이 통신망을 보호하고 있기 때문입니다.
설령 불법 복제 유심으로 심 스와핑에 성공했다고 해도 금융거래에 필요한 개인정보나 비밀번호 등은 없어 추가적인 범죄행위 없이는 금융자산을 탈취할 수 없습니다. 현재까지 이번 침해 사고로 인한 범죄 피해는 확인되지 않고 있습니다.
Q9. 불법 유심 복제가 되면 연락처, 문자, 앱도 복제가 되나요?
A9. 아닙니다. 탈취한 유심 정보로 유심만 복제되는 것입니다. 즉, 유심 복제만으로는 은행이나 가상자산 계좌가 탈취되거나 공인인증서 등이 복제되지 않습니다. 유심정보에 주민등록번호, 계좌번호 은행 OTP 등 정보가 담겨 있지는 않기 때문입니다.
Q10. 유심비밀번호 설정하는 건 도움이 될까요?
A10. 유심 비밀번호는 유심을 비밀번호로 잠가 유심을 도난 당하거나 물리적으로 탈취 당한 경우 다른 사람이 쓰지 못하도록 하는 보안 기능으로 이번 사고와는 관련이 없습니다.
Q11. 나도 모르는 사이 유심이 복제된 폰으로 통화나 문자 등 서비스를 이용할 수 있나요?
A11. 동일한 번호의 2개 회선이 동시에 통신망 시스템에 접속하는 것은 불가합니다. 다만, 휴대폰 전원이 꺼져 있는 시점에는 복제폰이 통신망 시스템에 접속할 가능성이 있습니다. 이러한 가능성을 차단하는 것이 FDS와 유심보호서비스이기 때문에 유심보호서비스 가입을 권장드립니다.
Q12. PASS 앱의 명의도용 방지 서비스를 설치하면 유심보호서비스가 필요 없나요?
A12. PASS 앱 명의도용 서비스는 유심보호서비스와 관련이 없습니다. 명의도용 서비스는 범죄자가 탈취한 개인정보를 활용해 핸드폰을 개통하는 것을 막습니다. 이는 유심정보를 악용한 범죄를 차단하는 유심보호서비스와 다릅니다.
