[보안기고] 모바일 보안의 본질을 다시 묻는다…유심 해킹사고 핵심포인트

"지금, 신뢰의 기준을 다시 세워야 할 때"

지란지교시큐리티 염태진 모바일보안기술연구소장

최근 국내 대형 통신사에서 발생한 유심(USIM, 범용 가입자 식별 모듈) 해킹 사고는 우리가 당연하게 믿어온 모바일 보안 체계에 깊은 물음을 던졌습니다.

유심정보 유출로 인한 유심 복제, 심스와핑 등 2차 피해가 우려되면서 개인의 금융 정보부터 기업 내부망까지 위협받을 수 있다는 우려와 불안이 커졌습니다. 이번 사고는 단순한 해킹이나 기술적 결함이 아닙니다. ‘기본 신뢰’의 붕괴이자, 모바일 보안을 바라보는 관점 자체를 바꿔야 할 시점을 알리는 경고입니다.

◆유심 복제, 어디까지가 진짜 위협인가

유심(USIM)은 스마트폰 내부의 작은 칩으로 전화번호와 가입자 인증 정보를 담고 있어 통신망 접속과 본인 인증의 핵심 역할을 합니다. 복제가 되면 동일한 번호로 다른 기기에서 통신이 가능해지기 때문에, 전화나 문자 인증을 공격자가 가로챌 수 있습니다.

실제로 벌어질 수 있는 일들은 다음과 같습니다.

1. 인증 문자 도용

복제된 유심으로 피해자의 전화번호로 인증 문자를 수신할 수 있어 각종 로그인과 금융 거래에서 2단계 인증을 우회당할 수 있습니다.

2. 금융 서비스 침해

간편결제 앱, 모바일 뱅킹 등이 문자 기반 인증을 사용하는 경우, 공격자가 피해자의 계좌에 접근할 가능성이 높습니다.

3. 메신저 계정 탈취

카카오톡, 텔레그램 등 전화번호 기반의 메신저는 새로운 기기에서 번호 인증만 통과하면 계정 탈취가 가능합니다.

반면, 현재 과도한 불안을 조성하고 있는 과장되거나 잘못 알려진 이야기들이 살펴보자면,

1. “유심만 복제되면 모든 정보가 털린다?” → 사실이 아닙니다

유심 자체에는 연락처, 사진, 비밀번호 같은 데이터는 저장되지 않습니다. 다만 인증 수단으로서 역할이 크기 때문에 다른 유출 정보와 결합되면 큰 피해로 이어질 수 있습니다.

2. “위치 추적이 가능하다?” → 기술적으로 어렵습니다

복제 유심만으로는 사용자의 실제 물리적 위치를 추적할 수 없습니다. 다만, 도청과 유사한 수준의 범죄가 일어날 가능성은 이론적으로 있으나 가의 장비와 특정 조건이 필요합니다.

3. “스마트폰 보안이 전부 무력화된다?” → 다층 보안은 여전히 유효

지문, 얼굴인식, 앱별 잠금 설정 등은 유심과 별개로 작동합니다. 유심만으로 스마트폰 내부 데이터에 접근하긴 어렵습니다.

◆모바일 시대, 개인 사고는 언제든 기업 위기로 확산될 수 있는 연결 고리

문제는 여기서 끝나지 않습니다. 많은 기업이 업무용으로 모바일 기기를 사용하고 있고 메신저와 이메일, 업무용 앱들이 하나의 스마트폰에 통합되어 있습니다. 유심 복제는 단순한 개인 정보 유출을 넘어, 기업 내부망까지 위협할 수 있는 ‘침입 통로’가 되는 셈입니다. 개인의 보안 취약점이 조직 전체의 리스크로 이어지는 구조는 이미 현실입니다.

그렇다면 우리는 무엇을 바꿔야 할까요? 개인도, 기업도 이번 사건을 계기로 모바일 보안에 대한 경각심을 가지고 필수적인 보안 수칙을 정하고 지켜야 합니다.

◆개인을 위한 보안 수칙은 다음과 같습니다.

• 유심보호서비스 신청 필수

• 문자 인증 최소화: OTP, 생체인증, 보안앱 사용

• 통신사 앱으로 ‘유심 변경 알림’ 활성화

• 이상 통신(전화 불통, 문자 수신 불가 등) 발생 시 즉시 신고

◆기업을 위한 보안 전략은 다음과 같습니다.

• MDM(모바일 기기 관리), MAM(앱 관리)의 도입

• 사용자 행위 기반 보안 시스템 연계

• 모바일 보안 점검 및 교육 정례화

• 통합형 모바일 보안 플랫폼(EMM) 구축

◆지금, 신뢰의 기준을 다시 세워야 할 때