SK텔레콤(SKT)이 지난 해킹 사태 당시 유심 교체와 동일한 보안 효과가 있다고 홍보했던 '유심 재설정'이 실제로는 효과가 미흡하다는 지적이 나왔다. 당시 2300만명이 넘는 가입자의 전화번호와 가입자식별번호, 유심 인증키 등 25종의 개인정보가 유출된 것으로 알려지면서 SKT 가입자 수십만명 이상이 유심 재설정을 진행한 바 있다. 이들에 대한 도청 가능성까지 제기되면서 SKT가 고객 보호 의무를 충실히 이해하지 않고 있다는 지적이 제기되고 있다.
8일 업계에 따르면 지난달 독일 함부르크에서 열린 유럽 최대 보안 컨퍼런스 '39C3'에서 박신조 독일 베를린공대 박사 등 연구진은 SKT에서 유심 재설정 전후로 인증 토큰을 비교 분석한 결과 IMSI(가입자 식별번호)는 변경됐지만, 인증키는 달라지지 않았다고 발표했다.
발표 자료를 살펴보면 연구진은 미리 캡처한 인증토큰(RAND·AUTN)으로 실험을 진행했다. 통신 가입자 인증 절차는 망 접속시마다 유심과 네트워크 간 공유된 인증키로부터 인증 토큰이 포함된 인증 메시지를 서로 교환해 정상여부를 판단하는 방식이다. 연구진은 유심 재설정 이전에 캡처한 인증 토큰을 재사용해 인증을 시도했고 추가로 SKT 매장을 방문해 유심 재설정을 받은 후 동일한 인증 토큰을 다시 사용해 인증을 시도했다.
두 경우 모두 인증이 가능했는데, 이에 대해 연구진은 유심 재설정으로는 인증키 자체가 변경되지 않았음을 의미한다고 지적했다. 인증키 자체가 변경되지 않을 경우 발생하는 문제는 재설정된 유심도 IMSI 값만 확보되면 유심 복제가 가능해 2차 피해가 발생할 수 있다는 점이다. 현장서 발표를 진행한 박신조 박사는 유심 재설정은 유심 교체 시간을 벌기 위한 임시방편이라고 부연했다.
지난해 4월 SKT 해킹 사태 때 유출된 유심 번호는 전화번호와 IMSI, 인증키 2종이다. 유출규모는 IMSI와 인증키 기준으로 2696만여건에 달한다. 특히 인증키가 복사될 경우 유심이 복제될 수 있다는 우려가 있었는데, SKT는 같은 해 5월 12월부터 '유심 재설정 솔루션'을 지원하겠다고 공식 브리핑을 통해 대대적으로 홍보한 바 있다.
SKT는 유심 재설정 솔루션이 기존 유심의 네트워크 인증 정보만 바꿔 보안 효과를 얻을 수 있으며, 실물 유심 교체와 동등한 수준의 정보 보호 효과를 제공한다고 주장했다. 하지만 해외 보안 컨퍼런스에 지적된 것처럼 인증키 값이 바뀌지 않았다면 이론적으로 최악의 경우 도청까지 가능하다는 우려가 나온다.
해외 보안업계가 SKT 해킹 사건과 관련해 우려를 표한 것은 이번이 처음은 아니다. 세계적인 사이버 보안 컨설팅 및 교육 전문기업 '사이버 매니지먼트 얼라이언스'(Cyber Management Alliance, CMA)는 최근 발표한 '2025년 최대 사이버 공격과 글로벌 사이버 보안에 미친 영향'이라는 보고서에서 SKT 해킹 사고를 지난해 발생한 7대 주요 사이버 공격 중 6위로 선정했다.
보고서는 SK텔레콤의 정보 유출 사고를 두고 "통신 부문 역사상 가장 높은 수준의 규제 과징금을 기록한 사건"이라며 심각성을 강조하면서 특히 핵심 인프라가 침해됐다는 점에서 구조적 보안 실패로 평가했다.
이처럼 반복되는 글로벌 보안업계의 경고를 감안하면, SKT가 그동안 고객 보호 의무에 충실했는지 따져볼 필요가 있다는 게 업계 관계자들의 공통된 의견이다.
한 업계 관계자는 "인증키 유출 가능성이 제기된 상황에서 '유심 교체와 동일한 보안 효과'라는 표현으로 유심 재설정을 적극 안내했다면, 그 효과에 대한 충분한 검증과 설명 책임 또한 SKT에 있다"며 "사후적으로 효과가 미흡하다는 지적이 나온 만큼, 지금 SKT은 당시 판단의 근거와 책임 소재를 명확히 밝혀 고객 보호에 나설 의무가 있다"고 말했다.
SKT 관계자는 "이같은 우려는 유심 교체 초기에 나왔던 이슈이고, 피해 사례도 없었다"며 "현재는 문제되지 않는 사안"이라고 설명했다.
박성대 기자 / 경제를 읽는 맑은 창 - 비즈니스플러스
Copyright ⓒ 비즈니스플러스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
