"은행 어플 지우면 괜찮을까요?" "몰래 계좌 털어가나요?" [유심 해킹 Q&A]

Q:“복제 유심으로 계좌 인출?” A:“자산 탈취 불가능”

유심엔 전화번호·인증키 등 담겨
SKT “공인인증서 등 복제 안 돼”
복제 유심으로 모바일 민증 불가
‘폰 재부팅 요구’ 피싱 주의해야

“은행 앱(애플리케이션)을 다 지워야 하나요.” “제 비밀번호까지 빠져나간 건가요.”

SK텔레콤(SKT)이 지난 22일 해킹으로 고객 유심(USIM) 정보가 유출됐다고 발표한 이후 여드레가 지났지만 혼란이 계속되고 있다. 사건의 진상이 정확히 드러나지 않은 데다 일부 고객은 유심 자체가 생소해, 이번 사고로 자신이 범죄 피해자가 될 수 있다는 우려가 걷잡을 수 없이 퍼지고 있다. “유심보호서비스에 가입하면 안심할 수 있다”는 말만 앵무새처럼 반복하고 구체적 정보와 대응법을 안내하지 않은 SKT에 일차적 책임이 있다. SKT는 30일 뒤늦게 ‘유심을 둘러싼 오해에 대해 설명드린다’는 제목의 안내문을 뉴스룸에 게재했다. 이 내용과 전문가 설명을 토대로 이용자들의 우려에 대해 질의응답 형식으로 풀어보았다.

SK텔레콤 가입자 유심(USIM) 정보 해킹 사고 관련 유심 무료교체 서비스 사흘째인 30일 서울 시내 한 T월드 직영매장에서 한 고객이 온라인 예약 상담을 받고 있다. 뉴스1

―유심이 뭐기에 다들 걱정인가.

“유심은 지금 통신망에 접속한 가입자가 누구인지 식별·인증해서 휴대전화를 이용할 수 있도록 한다. 유심에는 전화번호, 국제 이동통신 가입자 식별번호(IMSI), 가입자 인증키(Ki) 등 유심을 개통하거나 인증할 때 필요한 정보가 있다. 가입자가 직접 저장한 정보도 들어 있다. 후자의 경우 모바일 티머니나 인증서 등으로, 통신망에 연동되지 않는다. 유심에는 이름, 주민등록번호, 주소 등은 저장돼 있지 않다. 유영상 SKT 대표는 ‘유심에 저장된 공인인증서, 교통카드, 전화번호부 등은 통신망과 연동되는 통신·인증 정보가 아니라서, 설령 불법 유심 복제가 발생하더라도 다른 기기로 복제되지 않는다’고 설명했다.”

―‘심스와핑’ 가능성 없다는데.

“민관 합동으로 1차 조사 결과 단말기 고유식별번호(IMEI) 유출은 없음을 확인했다. 유심보호서비스에 가입하면 ‘심스와핑’은 방지된다고 한다. 다만 이번에 빼돌려진 전화번호, 가입자식별키 등 정보 4종만으로 유심복제가 가능하니 주의해야 한다. 무엇보다 해커가 통신사 시스템을 뚫고 홈가입자서버(HSS)까지 침입했다는 점에서 사태의 심각성이 크다. 김범수 연세대 정보대학원 교수는 ‘통신망에서 백그라운드로 사용되는 정보를 빼내는 건 소비자를 직접 타깃으로 하기보다 국가 인프라를 공격·마비시키기 위한 사전단계가 아니었을까 우려된다’고 말했다.”

―유심이 털리면 은행계좌에서 나도 모르게 돈이 빠져나가나.

“현재 밝혀진 정보를 토대로 보면 아니다. 불법 유심복제를 해도 이 정보만으로 SKT 망에 접속할 수는 없다. 비정상인증 차단 시스템(FDS)이 작동 중이다. FDS는 가입자가 등록한 기기가 아닌 휴대전화에서 연결을 시도하거나, 고객이 서울에 있는데 부산에서 갑자기 위치 등록 신호가 켜지는 비정상적 상황이 감지되면 차단한다. 단말기고유식별번호는 유출되지 않았기에, 해커가 가입자 식별번호를 갖고 있어도 특정인을 목표로 복제폰을 만들기는 힘들다. SKT는 ‘혹시 불법 복제 유심으로 심스와핑에 성공했어도, 금융거래에 필요한 개인정보나 비밀번호 등이 없는 한 추가 범죄로 이어지긴 어렵다’고 전했다. 다만 극도로 최악의 경우, 해커가 이미 특정인의 상세한 개인정보를 갖고 있다면 범죄에 악용할 수는 있다.”

30일 인천국제공항 제1여객터미널 SK텔레콤 로밍센터에서 출국을 앞둔 SK텔레콤 이용자들이 유심 교체를 위해 줄을 서서 기다리고 있다. 인천공항=이제원 선임기자

―피싱·스미싱도 주의해야 한다는데.

“이번 사태를 악용해 해커가 ‘명의 도용 등을 막기 위해 휴대폰을 껐다 켜달라’ 등의 스미싱 문자를 보냈을 때 절대로 그대로 따라하면 안 된다. 휴대전화 주도권을 빼앗길 수 있다. 한국인터넷진흥원(KISA)은 휴대전화 재부팅을 요구하는 피싱 메시지가 오면 절대 따르지 말고 신고해달라고 당부했다.”

―유심을 교체했더니 K패스 교통카드가 안 된다.

“티머니, 이즐 모바일카드로 K패스를 이용했다면 변경된 카드번호를 K패스 홈페이지에 재등록해야 한다. 티머니와 이즐은 유심 정보를 식별값으로 두고 카드번호를 부여한다. 카카오페이, 네이버페이, iM원패스, 레일플러스 등 다른 모바일카드와 실물 카드는 재등록이 필요 없다. 교통카드를 삼성페이 등 모바일 페이에 등록해 썼다면 모바일 페이에 카드 재등록을 해야 한다.”

―유심 복제폰을 이용해 모바일 신분증을 발급받을 수도 있나.

“원천적으로 불가능하다. 스마트폰에서 모바일 신분증을 발급받기 위해서는 등록한 비밀번호와 함께 집적회로(IC) 신분증을 인식시켜야 하며, 안면 인식을 통해 발급 신청자와 신분증 사진이 일치하는지 확인하는 과정도 거친다.”

송은아·이병훈 기자