SK텔레콤 유심(USIM) 정보 해킹 사태로 인해 금융자산이 탈취될 수 있다는 우려는 사실이 아닌 것으로 확인됐다. 민관합동조사단의 조사 결과 유출된 데이터에 개인을 특정할 수 있는 정보는 없었다. 전문가들은 복제폰을 만든다 해도 금융기관의 추가 인증을 뚫을 방법은 없어 유심보호서비스 가입 만으로도 개인정보보호가 충분하다고 설명했다.
29일 과학기술정보통신부는 SK텔레콤 유심 정보 유출 사고와 관련해, 민관합동조사단의 1주일간 조사 결과 단말기 고유식별번호(IMEI)는 유출되지 않았다고 밝혔다.
가입자식별키(IMSI) 등 4종과 관리용 21종 관련 정보가 유출됐지만, 유심보호서비스에 가입한 경우 이번에 유출된 정보만으로는 유심 복제나 불법 사용(심스와핑)은 차단할 수 있다는 것이 조사단의 판단이다.
민관합동조사단 관계자는 "유출된 정보는 서버 인증에 필요한 일종의 프로토콜로 보면 된다"며 "이용자 주민등록번호나 주소는 유출되지 않았다. 가입자 전화번호, IMSI 등 유심 복제에 활용될 수 있는 정보들은 유심보호서비스에 가입하면 문제가 없다"고 설명했다.
그러면서 그는 "해당 사안의 개인정보 침해 여부 판단은 개인정보보호위원회의 몫"이라고 덧붙였다.
보안 전문가들은 이날 발표 전부터 정보 유출 사태에 정치권까지 개입하면서 과도한 공포가 확산되고 있다고 우려하며, 조사단의 신속한 발표를 촉구해왔다.
조사단 발표 전부터 학계를 비롯한 주요 보안 전문가들은 유심보호서비스에 가입했다면 이번 SKT 유심칩 해킹만으로는 심복제나 심스와핑을 통한 금융자산 탈취는 애초부터 불가능하다고 단언해왔다.
최근 한 이용자가 휴대전화 먹통 현상 이후 5000만원을 도난당한 사건은 스미싱 공격에 의한 것으로, 이번 유심 정보 유출과는 관련이 없는 것으로 확인됐다.
이성엽 고려대 기술경영전문대학원 교수는 "금융계좌를 해킹하려면 유심을 복제한 뒤 기기를 임의로 변경하고, 문자 등 각종 인증 절차를 거쳐야 한다"며 "이런 요건이 없는 상태에서 피해를 입었다는 것은 납득하기 어렵다"고 말했다.
그는 "유심보호서비스에 가입한 뒤 누군가 심스와핑 시도를 하려면 기존 휴대폰을 무력화하고 기기 변경 절차를 거쳐야 하는데, 이 과정에서 해커가 직접 대리점에 가는 등 본인 인증이 필요하므로 오히려 더 많은 비용이 든다"고 덧붙였다.
4G·5G 네트워크는 보안성이 강하고, 기기 변경을 위해서는 기존 휴대폰이 꺼져 있거나 비행기 모드 상태여야 해킹 공격이 가능하다. 사이버 공격자가 유심 카드를 복제했다고 마음대로 복제폰을 이용할 수 없다는 얘기다.
김승주 고려대 정보보호대학원 교수는 "금융거래 시 공동인증서, 일회용 비밀번호 생성기(OTP)를 활용하며, 유심 정보만으로는 금융거래를 직접 수행하거나 신분증을 위·변조해 2차 피해로 확산하기 어렵다"고 말했다.
이어 "이동통신사 네트워크는 동일한 유심값을 가진 기기가 동시에 접속하려 할 경우 이를 즉시 탐지하도록 설계돼 있다"며 "이용자가 유심보호서비스에 가입했다면 복제된 유심이 다른 단말기에 장착될 경우 차단이 가능하다"고 설명했다.
유출된 유심 정보만으로 휴대전화를 추가로 개통하는 것도 현실적으로 불가능하다. 조사단 발표에 따르면 주민등록번호 등 개인 신원을 확인할 수 있는 정보는 유출되지 않았다.
염흥열 순천향대 정보보호학과 교수는 "현재까지 해커가 할 수 있는 최악의 경우는 복제 유심을 통한 복제폰 제작 정도지만, 이 역시 유심보호서비스에 가입하면 문제가 되지 않는다"며 "휴대폰 가입을 위해 신분증 조회 등의 대면 인증 등이 필요해 기술적으로 어렵다"고 분석했다.
유심 해킹 이후 금융권과 산업계는 SKT 유심 인증 차단에 나섰다. 이에 대해 보안업계는 불필요한 행위라고 해석했다.
한 보안업계 관계자는 "복제폰을 통해 금융정보가 유출될 가능성이 있다면 통신사 인증에 전적으로 의존할 수 없기 때문에 SKT 인증을 차단하는 조치가 필요할 것"이라며 "하지만 금융권도 이상거래탐지시스템(FDS)을 갖추고 있어 굳이 인증을 막을 필요는 없다"고 말했다.
김승주 교수는 "금융사마다 보안 수준은 다르다"며 "KB국민은행 등 일부 은행은 인증 차단 대신 추가 인증을 요구하는데, 유심이 복제되더라도 금융권의 여러 보안 장치로 인해 실제 보안이 뚫리는 경우는 거의 없다"고 말했다.
증권가 역시 SKT 해킹과 증권사 해킹 우려는 구분해야 한다면서, 통신사에 유심보호 서비스를 신청하면 기기 변경시 정상 작동하지 않기 때문에 예방이 가능하다고 안내하고 있다.
Copyright ⓒ 아주경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
