<div><figure><img src="https://pds.joongang.co.kr/news/component/joongang_sunday/202505/03/95497b24-2aa2-48a7-828e-c9ecd26137c4.jpg" /></figure>SK텔레콤 유심 해킹 사태가 심상치 않다. USIM(Universal Subscriber Identity Module)은 스마트폰이 누구 것인지를 알려주는 인증카드로, 우리는 금융거래나 메신저 채팅, 택시를 부를 때도 이 얇은 칩 하나로 자신을 증명한다. 일종의 모바일 신분증이다. 이번 해킹으로 유심 스와핑을 통한 금융사기 우려가 제기되니 ‘탈 SK텔레콤’ 바람이 거세다. 아직 피해 사례가 없는데도 ‘탈출은 지능 순’이라며 이미 9만 명이 통신사를 옮겼고, SK텔레콤 주가는 폭락 중이다.디지털 사회에 대한 불신도 불붙었다. 유심보호 서비스에 가입하면 안전하다고 하나, 유심이 뚫렸으니 이미 다 뚫린 거라고도 한다. 실체는 여전히 모호하다. 해킹 주체가 누군지 모르니 의도도 모른다. 이 논란은 근본적인 질문을 던진다. 기술이 발전하면서 금융계좌까지 비대면 개설이 자연스러워졌지만, 정작 그 과정에서 무슨 일이 벌어지고 있는지 사용자는 알 도리가 없다는 것이다. 우리가 서 있는 기반은 과연 믿을만한가.2일엔 구인·구직 플랫폼 알바몬에서도 개인정보 유출 사고가 발생했다. 팬데믹 이후 묻지도 따지지도 않고 급진전된 디지털 인프라를 다시 돌아볼 때다.</div>

<div>SK텔레콤(SKT) 유심(USIM·가입자 식별 모듈) 정보 유출 사고 발생 2주가 지났지만, 정확한 피해규모와 해킹 경로 등은 드러나지 않고 있다. 이용자들의 불안감은 일파만파 번지고, 금융 피해 등 악용 가능성을 둘러싼 의혹도 잇따르고 있다. 2일 SKT 간담회에서 기술책임자인 류정환 네트워크인프라센터장(부사장)은 온라인과 언론 등을 통해 제기된 주요 의혹들에 대해 직접 하나하나 해명했다. 아래는 일문일답. 전문가들의 진단도 덧붙였다.<figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202505/03/f64eed0d-cb1d-4065-953f-4ef59269f95a.jpg" /></figure>유심 정보 알면 계좌에 있는 돈 훔쳐갈 수 있나?그렇지 않다. 금융자산을 탈취하려면 거래에 필요한 개인정보나 비밀번호 등이 필요하다. 지난달 29일 정부 합동 조사 1차 결과 발표에 따르면 유심과 관련된 정보만 유출된 것으로 나타났다. 그 외 전화번호 또는 인증 정보는 전혀 나가지 않았다. 유심을 교체하거나 보호서비스에 가입해도 은행 앱에서 추가적인 보안조치를 해야 하나?안 해도 된다. 이용자들이 스마트폰에 앱을 깔아도, 앱 관련 내용은 유심에 저장되지 않는다. 또 은행 앱에서 거래를 하려면 비밀번호, OTP(일회용 비밀번호), SMS 등 추가 인증 수단이 필요하다.금융피해 우려에 대해선 전문가들의 의견도 비슷하다. 김용대 한국과학기술원(KAIST) 전기전자공학부 교수는 “(유출된 정보는) 금융거래와 직접 관계가 없다. 문자메시지 인증 우회 등을 통한 부가 피해를 걱정하는 것인데, 유심보호서비스에 가입하면 기기변경이 불가능해 이런 공격에 이용될 수 없다”고 말했다. 김승주 고려대 정보보호대학원 교수 역시 “계좌이체 등을 하려면 OTP나 공인인증서 등의 정보가 필요한데 이는 유심에 저장되지 않는다”고 했다.유심을 복제하면 휴대전화에 저장된 문자나 앱을 다 복제할 수 있나?아니다. 유심 내부는 크게 두 부분으로 나눌 수 있다. 하나는 망과 연동된 모듈로 개통을 하거나 전화를 걸 때 인증 등을 하는 부분이다. 다른 하나는 물리적인 메모리다. 이번에 문제가 된 부분은 망과 연동된 부분이다. 사진이나 전화번호 등 개인정보가 담기는 물리적 메모리는 망과 전혀 연동되지 않고 이번 사고와 관계가 없다. 유심칩을 물리적으로 도난 당하는 게 아니라면, 메시지·연락처·앱 등의 정보는 복제할 수 없다.<figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202505/03/8e049674-e5fb-44cd-81a2-b3e344b4c199.jpg" /></figure>복제한 폰으로 이용자 몰래 통화를 하거나 문자메시지를 보낼순 없나?비정상인증 차단 시스템(FDS)과 유심보호서비스로 차단하기 때문에 복제가 불가능하다. 만일 복제가 됐다 하더라도, 망에 전화 2대가 동시에 위치 등록을 할수 없기 때문에 일어날 수 없는 일이다.김용대 교수는 “이번 사고로 유심 정보가 나간 거지, 기기와 관련된 정보는 유출되지 않았다. 기기는 여전히 이용자들이 소유하고 있기 때문에, 유심 정보만으로 (해커가) 특별히 할 수 있는 건 없다”고 설명했다.유심칩, 꼭 바꿔야 하나?하지 않아도 된다고 생각한다. 현재 3중 안전장치를 갖추고 있다. FDS, 그리고 유심보호서비스, 유심 교체다. 앞의 두 가지만으로도 안전하다. 그럼에도 원하는 분은 교체하시게끔 안내하고 있다. 유심보호서비스도 유심 교체와 같은 효과를 가진다.서버가 해킹 당한 건데, 유심을 교체하는 게 소용이 있나?정부 합동 조사 결과, 이번에 침해가 있었다고 판단한 홈가입자서버(HSS)에는 유심 관련 정보만 저장돼 있다. 다른 정보는 전혀 없기 때문에 유심만 교체해도 피해가 없다.<figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202505/03/a5bc4179-a6ef-41ec-ba97-3cf379c70b15.jpg" /></figure>류 부사장이 언급한 FDS는 서로 다른 휴대전화에서 같은 유심(복제된 유심)으로 접속을 시도하는 등의 이상 현상이 나타나면 실시간 탐지해 차단하는 시스템. 예를 들어 기존에는 서울에서 접속했는데, 조금 뒤 부산에서 같은 심으로 접속을 시도한 정황이 발생하면 이를 즉시 차단하는 것이다.SKT는 유심보호서비스나 FDS 등의 안전장치가 유심 교체의 대안이 될 수 있다고 설명한다. 다만 김용대 교수는 “해외에 나갈때 로밍 서비스 때문에 유심보호서비스를 해지하면, FDS만으로 충분하지 않을 수 있다. 아직 유심 교체를 못했다면 유심보호서비스를 유지한채 데이터 전용 이심(eSIM)을 쓰는게 더 낫다”고 했다.SKT 측은 앞으로 휴일·주말을 제외한 일일 브리핑을 통해 추가 보호조치와 함께 불필요한 오해를 바로잡는 설명도 병행할 방침이다. 류 부사장은 “유심 교체 안내 문자는 재고가 확보되면 순차적으로 보낼 예정이며, 아직은 보낸 적이 없다. 안내 문자 발신번호는 114다. 반드시 발신번호를 확인해 달라”고 당부했다.</div>

SK텔레콤(SKT) 유심(USIM·가입자 식별 모듈) 정보 유출 사고 발생 2주가 지났지만, 정확한 피해규모와 해킹 경로 등은 드러나지 않고 있다. 이용자들의 불안감은 일파만파 번지고, 금융 피해 등 악용 가능성을 둘러싼 의혹도 잇따르고 있다. 2일 SKT 간담회에서 기술책임자인 류정환 네트워크인프라센터장(부사장)은 온라인과 언론 등을 통해 제기된 주요 의혹들에 대해 직접 하나하나 해명했다. 아래는 일문일답. 전문가들의 진단도 덧붙였다.

유심 바꿔봤자? 계좌·연락처도 털린다? SKT 해킹 진실과 오해 [팩플]

<div>"지금, 신뢰의 기준을 다시 세워야 할 때"지란지교시큐리티 염태진 모바일보안기술연구소장<figure><img src="https://www.dailysecu.com/news/photo/202505/165830_194322_416.jpg" /></figure>최근 국내 대형 통신사에서 발생한 유심(USIM, 범용 가입자 식별 모듈) 해킹 사고는 우리가 당연하게 믿어온 모바일 보안 체계에 깊은 물음을 던졌습니다.유심정보 유출로 인한 유심 복제, 심스와핑 등 2차 피해가 우려되면서 개인의 금융 정보부터 기업 내부망까지 위협받을 수 있다는 우려와 불안이 커졌습니다. 이번 사고는 단순한 해킹이나 기술적 결함이 아닙니다. ‘기본 신뢰’의 붕괴이자, 모바일 보안을 바라보는 관점 자체를 바꿔야 할 시점을 알리는 경고입니다.◆유심 복제, 어디까지가 진짜 위협인가유심(USIM)은 스마트폰 내부의 작은 칩으로 전화번호와 가입자 인증 정보를 담고 있어 통신망 접속과 본인 인증의 핵심 역할을 합니다. 복제가 되면 동일한 번호로 다른 기기에서 통신이 가능해지기 때문에, 전화나 문자 인증을 공격자가 가로챌 수 있습니다.실제로 벌어질 수 있는 일들은 다음과 같습니다.1. 인증 문자 도용복제된 유심으로 피해자의 전화번호로 인증 문자를 수신할 수 있어 각종 로그인과 금융 거래에서 2단계 인증을 우회당할 수 있습니다.2. 금융 서비스 침해간편결제 앱, 모바일 뱅킹 등이 문자 기반 인증을 사용하는 경우, 공격자가 피해자의 계좌에 접근할 가능성이 높습니다.3. 메신저 계정 탈취카카오톡, 텔레그램 등 전화번호 기반의 메신저는 새로운 기기에서 번호 인증만 통과하면 계정 탈취가 가능합니다.반면, 현재 과도한 불안을 조성하고 있는 과장되거나 잘못 알려진 이야기들이 살펴보자면,1. “유심만 복제되면 모든 정보가 털린다?” → 사실이 아닙니다유심 자체에는 연락처, 사진, 비밀번호 같은 데이터는 저장되지 않습니다. 다만 인증 수단으로서 역할이 크기 때문에 다른 유출 정보와 결합되면 큰 피해로 이어질 수 있습니다.2. “위치 추적이 가능하다?” → 기술적으로 어렵습니다복제 유심만으로는 사용자의 실제 물리적 위치를 추적할 수 없습니다. 다만, 도청과 유사한 수준의 범죄가 일어날 가능성은 이론적으로 있으나 가의 장비와 특정 조건이 필요합니다.3. “스마트폰 보안이 전부 무력화된다?” → 다층 보안은 여전히 유효지문, 얼굴인식, 앱별 잠금 설정 등은 유심과 별개로 작동합니다. 유심만으로 스마트폰 내부 데이터에 접근하긴 어렵습니다.◆모바일 시대, 개인 사고는 언제든 기업 위기로 확산될 수 있는 연결 고리문제는 여기서 끝나지 않습니다. 많은 기업이 업무용으로 모바일 기기를 사용하고 있고 메신저와 이메일, 업무용 앱들이 하나의 스마트폰에 통합되어 있습니다. 유심 복제는 단순한 개인 정보 유출을 넘어, 기업 내부망까지 위협할 수 있는 ‘침입 통로’가 되는 셈입니다. 개인의 보안 취약점이 조직 전체의 리스크로 이어지는 구조는 이미 현실입니다.그렇다면 우리는 무엇을 바꿔야 할까요? 개인도, 기업도 이번 사건을 계기로 모바일 보안에 대한 경각심을 가지고 필수적인 보안 수칙을 정하고 지켜야 합니다.◆개인을 위한 보안 수칙은 다음과 같습니다.• 유심보호서비스 신청 필수• 문자 인증 최소화: OTP, 생체인증, 보안앱 사용• 통신사 앱으로 ‘유심 변경 알림’ 활성화• 이상 통신(전화 불통, 문자 수신 불가 등) 발생 시 즉시 신고◆기업을 위한 보안 전략은 다음과 같습니다.• MDM(모바일 기기 관리), MAM(앱 관리)의 도입• 사용자 행위 기반 보안 시스템 연계• 모바일 보안 점검 및 교육 정례화• 통합형 모바일 보안 플랫폼(EMM) 구축◆지금, 신뢰의 기준을 다시 세워야 할 때유심(USIM) 해킹과 복제 이슈는 기술을 믿은 ‘틈’을 파고든 사건이었습니다. 하지만 이는 우리가 모바일 보안을 어떻게 다뤄왔는지 되돌아보게 하는 계기이기도 합니다.기술을 신뢰하되, 그 신뢰는 지속적인 점검과 대응 체계 위에서만 유효합니다. 모바일 보안은 이제 가장 약한 고리가 아니라, 가장 중요한 전선이 되었음을 잊지 말아야 합니다.다음 피해자가 우리가 되지 않기 위해 이제는 보안의 기준을 다시 써야 할 때입니다.<figure><img src="https://www.dailysecu.com/news/photo/202505/165830_194323_4237.jpg" /></figure>[글. 지란지교시큐리티 염태진 모바일보안기술연구소장 / iharu@jiran.com]★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★</div>

"지금, 신뢰의 기준을 다시 세워야 할 때" 지란지교시큐리티 염태진 모바일보안기술연구소장. 최근 국내 대형 통신사에서 발생한 유심(USIM, 범용 가입자 식별 모듈) 해킹 사고는 우리가 당연하게 믿어온 모바일 보안 체계에 깊은 물음을 던졌습니다.

[보안기고] 모바일 보안의 본질을 다시 묻는다…유심 해킹사고 핵심포인트

<div><figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202505/02/2ff2cf8e-03a7-40ac-a349-0da79316db64.jpg" /></figure>‘X-이벤트’라는 게 있다. X는 ‘extreme’을 줄인 말이다. 발생 가능성이 아주 낮지만, 일어나면 사회·경제적으로 파급 효과가 큰 사건을 말한다. 원자력발전소 사고, 대정전 사고 등이 대표적이다. 독일 사회학자 울리히 벡은 『위험사회』에서 사회가 발전하고 복잡해질수록 위험도는 더 커진다고 역설했다. 선진국이라면 이 같은 X-이벤트에 대응할 수 있어야 한다. 그게 한 나라의 힘이고, 실력이다. 기업도 마찬가지다. X-이벤트에 노출된 기업은 한순간에 사라질 수 있다.<figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202505/02/a2593b9e-509e-4d01-9f81-491d105bd2f9.jpg" /></figure>지난달 SK텔레콤(SKT)에서 일어난 대형 해킹 사고는 또 다른 X-이벤트다. 해킹 대상은 고객 개인정보와 인증을 관리하는 홈가입자서버(HSS)다. 휴대전화는 그냥 전화가 아니다. 주식거래·은행업무 등 일상생활에서 이미 없어서는 안 될 존재가 됐다. 유심정보 유출은 그간 잊을 만하면 발생했던 단순 개인정보 유출과 차원을 달리한다. 유심 정보로 복제폰이 만들어지면, 개인의 금융자산도 순식간에 털릴 수 있다.X-이벤트에 대한 SKT의 대응은 재앙 수준이다. 지난달 18일 해킹이 발생했는데, 하루가 지나고서야 유심 정보 유출을 확인했다. 24시간 내에 이뤄져야 하는 신고는 이틀이 걸렸다. 사건 발생 열흘 만에야 유심 무상교체를 해준다고 밝혔으나 준비는 부족했다. 전국 대리점에는 고객들로 북새통을 이뤘지만, 대다수는 ‘유심 재고 소진’으로 허탕을 쳤다. 대안이라는 ‘유심보호 서비스’도 고령자 등 통신 취약계층에겐 어려운 데다 로밍 차단으로 외국을 오가야 하는 사람들에겐 헛일이다. 혼란이 수습되지 않으면 공포와 재난으로 이어진다. 국내 1위 통신사 위기관리의 현주소다.</div>

‘X-이벤트’라는 게 있다. X는 ‘extreme’을 줄인 말이다. 발생 가능성이 아주 낮지만, 일어나면 사회·경제적으로 파급 효과가 큰 사건을 말한다. 원자력발전소 사고, 대정전 사고 등이 대표적이다. 독일 사회학자 울리히 벡은 『위험사회』에서 사회가 발전하고 복잡해질수록 위험도는 더 커진다고 역설했다. 선진국이라면 이 같은 X-이벤트에 대응할 수 있어야 한다. 그게 한 나라의 힘이고, 실력이다. 기업도 마찬가지다. X-이벤트에 노출된 기업은 한순간에 사라질 수 있다.

X-이벤트와 SKT

<div>CEO 직속으로 보안조직두어, 시스템운영과 보안과의 끊임없는 상충관계를 직접 조율해야<figure><img src="https://www.dailysecu.com/news/photo/202505/165865_194361_2843.jpeg" /></figure>해킹사고, 특히 개인정보 유출사고는 발생 후 범죄를 저지른 가해자보다 당한 피해자의 책임을 묻는데 관심이 집중된다. 물론 고객의 귀중한 개인정보를 관리하고 있는 기업은 당연히 사과와 함께 책임감 있는 재발방지책을 마련해야 한다. 그러나 우리는 이에 매몰되어 금번 해킹사건이 내포하고 있는 가해자 측면의 중대한 시사점을 간과해서는 안 될 것이다. 이번 사건 시사점을 한문장으로 요약하면 ‘세계최고 수준의 국가단위 해킹그룹이 우리 나라 인프라를 공격해오고 있으며이에 대비해야 한다.’는 것이다.이번 사건을 수행한 해킹그룹이 누구인지는 조사결과가 아직 나오지 않았다. 그러나 28년간 보안사업을 해본 필자의 촉으로는 국가단위 해킹그룹으로 단언하고자 한다. 국가단위 해킹그룹으로 결론 내린 이유는 해킹 목적을 살펴보면 보면알 수 있다. ‘공명심에 사로 잡힌 젊은 친구들이 자신의 실력을 과시하는 해킹’을 제외하면 해킹목적은 크게 두가지로 나뉘어진다. 첫번째는 해킹을 통해 돈을 버는 것이며, 두번째는 국가 단위 정보수집과 인프라에 대한 공격목적이다. 행위자 기준으로 볼때, 첫번째는 민간 해킹그룹이고, 두번째는 국가단위 해킹그룹이다. 민간 해킹그룹은 수익창출에 초점을 맞춘다. 가난한 나라는 국가단위 해킹그룹도 외화벌이가 주목적이 되기도 한다. 해킹으로 손쉽게 돈을 벌 수 있는 방법은 생각보다 많다. 대표적인 것이 랜섬웨어 유포이며, 또 하나는 가상화폐 거래소나개인의 가상화폐 지갑을 해킹하는 것이다. 해킹 후 개인정보를 탈취하고, 데이터를 암호화하고, 서비스를 마비시킨 후 돈을 요구하는 것이 랜섬웨어다. 대기업을 대상으로는 수 억에서 수십억 원까지 몸값을 요구한다. 랜섬웨어에 감염된 기업은 대부분 신고하지 못하고 몸값 협상 후 비용을 지불한다. 신고하여 외부에 해당 사실이 알려지면, 회사 브랜드에 손상을 입기 때문이다. 어떤 랜섬웨어 그룹이 1조원을 벌었다는 소문이 있는 것을 보면 최소한 수백억, 수천억 수익을 챙긴 곳이 있다는 것은 확실하다. 가상화폐 거래사이트는 해킹하기 어렵지만 수익창출 측면에서는 최상이다. 해킹 후에 얻는 금전적 이익이 수천억 원대에달하기도 한다. 최상의 해킹기술이 있다면, 장기간 노력하더라도 큰 돈을 많이 벌 수 있는 위와 같은 곳을 해킹하는 것이합리적이다. 통신사 최상위 보호서버인 유심관리서버(HSS서버)는 해킹 수익성 측면에서 가성비가 떨어지는 시스템이다. 최상위 서버인만큼 다단계로 구축된 보안절차를 장기간 회피하면서, 여러 단계를 통과해야만 도달할 수 있는 시스템이다. 최종단계에 이르기까지 수개월이상 혹은 수년간 준비가 필요할 수도 있다. 게다가 유심관리 서버의 정보만으로는 수익성을 창출하기 어렵다는 것이 일반적인 판단이다. 해당정보와 다른 방법을 통해서 취득한 정보들이 복합적으로 결합되어야만 돈을 벌 수 있는 시나리오를 만들 수 있다. 따라서 이런 가성비 떨어지는행위를 집요하게 수행하는 동기를 가진 조직은 국가단위 해킹그룹 밖에 없다.특히 작년 말, 미국의 최소 9개 이상 통신사가 중국으로 추정되는 국가단위 해킹그룹에 의해 해킹 당했다는 미국 국회보고서가 올해 초 공개되었다. 통신사는 어느 나라나 서버 간의 시스템 구조가 비슷하기에 한번 통신사를 해킹한 그룹은 다른 통신사를 공략하기가 상대적으로 용이하다. 그때 발견된 악성코드와 이번 우리나라 통신사 해킹에서 발견된 악성코드가 같은 계열이기도 하다. 이런 국제적인 해킹동향도, 금번 우리나라 통신사 해킹도 국가단위 해킹그룹이 진행되었다고생각하게 되는 또 하나의 요인이다. 물론 최종적 결론은 알기 어렵다. 원래 사이버 해킹은 ‘스모킹건’이 부족하기 때문에 결정적으로 몰아갈 증거는 상대적으로 부족하다. 게다가 국가단위 해킹그룹은 은밀하게 움직이기에 최대한 흔적을 남기지 않는 것이 특징이다. 훔쳐간 정보를 다크웹에 올리지도 않기에 얼마나 가지고 나갔는지도 파악하기 쉽지 않다. 이번 통신사 사고도 어떤 정보가 얼마나 나갔는지 특정하기가 매우 어려울 것이다. 언제부터 들어왔는지 거슬러 올라가다 보면 수개월, 또는 수년전으로 돌아갈 수도 있다. 여기까지 생각이 미치면 자연스럽게 의문이 들 것이다. ‘이번 통신사 이외에 다른 통신사에는 공격이 없었을까?’, ‘통신사말고 금융, 도로, 항공, 전력 등 주요 인프라에는 위와 같은 공격이 없었을까?’ 아무도 모르는 일이지만, 개연성은 충분이높다고 판단된다. 다행히 지금까지 공격의 대상이 되지 않았더라도 언제든지 대상이 될 수 있다. 결국 보안전문가들이 오랫동안 두려워해 온 ‘국가단위 해킹그룹의 우리나라 인프라 공격’이 이제 현존하는 위협이 되었다. ‘S통신사가 충분한 보호조치를 했다’라고 할 수도 없지만, 보호조치를 고의로 태만히 한 통신사도 아닐 것이다. 결국작정하고 들어오는 국가 해킹그룹을 방어할 역량을 갖고 있는 기관은 거의 없다는 사실과 함께 우리의 민낯을 보여준 것이 금번 통신사 해킹사건이다. 외부환경은 급변하고 있으나, 우리의 보안의식은 아직 십년 전 수준에 머무르고 있다. ‘보안 에이전트를 서버에 설치하면서버장애가 발생할 수 있기 때문’에 서버 보안에이전트 설치가 불가능하다는 반발을 넘어서기 어려운 것이 현재 보안담당자의 고민이다. 서버 취약점 점검 테스트조차 운영담당자 입장에서는 장애발생 우려 때문에 난색을 표한다. 보안강화는 운영편리성과 상충되는 경우가 많기 때문에 여전히 우선순위에 밀려왔다. 해킹사고는 발생하지 않으면 CEO의 관심사에서 자연스럽게멀어지며, CEO가 직접 보고를 받지 않게 된다. 이번 기회에 최소한 국가 주요 인프라에 대해서는 전면적으로 ‘제로 트러스트’ 관점에서 보안 설계를 재구축해야 할 것이다. 결국 모든 일의 최종핵심은 ‘CEO의 의지, 그리고 예산과 인력’이다. 금융기관의 2014년 카드사 1억건 개인정보 유출사고 이후, 제대로 된 정보보호임원(CISO)을 임명하고, IT예산 7%를보안예산으로 투자하고, IT인력 5%를 정보보호 인력으로 운영하여 금융보안 수준을 개선한 것을 참고할 필요가 있다. 또한 CEO 직속으로 보안조직을 두어, 시스템운영과 보안과의 끊임없는 상충관계를 직접 조율해야 한다. 정부는 민간의자율성을 해칠 수 있는 규제를 대거 밀어 넣는 것이 아니라 실질적으로 보안 수준제고에 도움이 되는 가이드를 제시할 것으로 기대한다. 우리나라는 사이버 해킹 최전선에 처해있다. 사이버 해킹 측면에서 한국은 전세계 테스트 베드이다. 2010년대 초반, 우리나라에서 전세계적으로 유례가 없는 천만 건 이상 개인정보 유출사고가 다량 발생했다. 그리고 5년 후, 미국 야후 십억건 개인정보 유출사고를 비롯하여 선진국에서도 대규모 개인정보 유출사고가 발생했다. 선진국은 처음에 한국을 비웃다가 자신들도 같은 사고를 당한 한국 사례를 참조하기 시작했다. 한국이 매를 먼저 맞은 것이다. 이제 ‘국가단위 해킹공격’도 사이버 해킹 최전선인 우리나라에 먼저 도달하고 있다고 생각한다. 이러한 공격을 효과적으로 방어하게 되면, 우리나라는 미국과 이스라엘과 어깨를 겨루는 사이버보안 최고국가로 도약할 것으로 기대한다.[글. 소만사 김대환 대표이사]</div>

CEO 직속으로 보안조직두어, 시스템운영과 보안과의 끊임없는 상충관계를 직접 조율해야. 해킹사고, 특히 개인정보 유출사고는 발생 후 범죄를 저지른 가해자보다 당한 피해자의 책임을 묻는데 관심이 집중된다. 물론 고객의 귀중한 개인정보를 관리하고 있는 기업은 당연히 사과와 함께 책임감 있는 재발방지책을 마련해야 한다. 그러나 우리는 이에 매몰되어 금번 해킹사건이 내포하고 있는 가해자 측면의 중대한 시사점을 간과해서는 안 될 것이다.

[보안칼럼] ‘우리는 국가단위 해킹그룹의 인프라 공격에 준비되어 있는가‘

<div>[미디어펜=이승규 기자] 국내 최대 정보보호 권위자인 김승주 고려대학교 정보보호대학원 교수가 최근 발생한 정보유출 사태와 관련해, 금전적인 문제가 발생할 가능성은 없다고 주장했다. <img src="https://image.mediapen.com/news/202505/news_1012772_1746263153_m.png" />3일 업계에 따르면 김승주 고려대학교 정보보호대학원 교수는 지난 2일 유튜브 방송 '언더스탠딩'에 출연해 유심사태와 관련한 다양한 의견을 제시했다. 김 교수는 앞서 지난 달 29일 '김현정 뉴스쇼에 출연해 실제보다 과도하게 사회불안감이 확산되고 있다고 지적한 바 있다. 먼저 김 교수는 이 날 방송에서 이번에 유출된 정보로 유심 복제는 불가능하다고 지적했다. 일부 단말기 고유번호(IMEI) 등 핵심 정보가 유출되지 않은 만큼, 유심 복제가 불가능하다는 것이다. 유심이 복제 됐더라도 감청 등은 불가능하다고 밝혔다. 휴대폰 복제가 진행될 시 원래 폰은 전화·문자·데이터 등이 먹통이 되는 만큼, 눈치채기 쉬울 것이라고 덧붙였다. 김 교수는 "이번 사태에서 일부 단말기 고유 번호 등의 중요한 정보들은 유출되지 않았다"라며 "복제가 될 시 핸드폰이 먹통이 될 것이기 때문에 눈치를 못 챌 수가 없을 것"이라고 말했다. 유심보호서비스 가입의 중요성에 대해서도 역설했다. 유심 보호 서비스는 이용자의 유심 정보와 휴대전화 단말기 정보를 하나로 결합해 다른 단말기에서는 유심이 쓰이지 못하도록 차단하는 기술이다. 김 교수는 유심보호서비스에만 가입해도 휴대폰 복제는 불가능하다고 강조했다. 이와 함께 금전적인 피해가 발생할 가능성은 없다고 전했다. 통신사가 공인인증서 등 금융거래와 관련한 정보를 가지고 있지 않은 만큼, 해당 정보를 통한 계좌이체 거래는 불가능하다는 것이다. 김 교수는 "유심보호서비스를 가입하면 문제를 해결할 수 있을 것"이라며 "복제폰이 만들어지더라도 금전적인 어떤 문제로 이어지진 않을 것이니 너무 큰 걱정을 할 필요는 없어보인다"라고 아울러 주민번호와 주소 등의 개인정보가 유출될 가능성도 적을 것이라고 분석했다. 개인정보는 법적으로 암호화가 필수다.김 교수는 "제대로 암호화를 진행했거나 암호화 한 키가 털리지 않았으면 개인정보가 유출됐을 가능성은 적을 것"이라고 주장했다. 김 교수는 이번 사태가 너무 큰 사회적 파장으로 퍼지고 있다고 지적했다. 김 교수는 "SK텔레콤의 대처가 미흡했던 것은 사실이지만 언론 등이 너무 큰 불안감을 조성하고 있다"라며 "유심보호서비스만 가입해도 큰 문제가 없을 것으로 보이는 만큼 대리점이 여유로워지면 교체를 하거나 이 기회에이 e-SIM으로 전환하면 될 것 같다"라고 말했다. </div>

[미디어펜=이승규 기자] 국내 최대 정보보호 권위자인 김승주 고려대학교 정보보호대학원 교수가 최근 발생한 정보유출 사태와 관련해, 금전적인 문제가 발생할 가능성은 없다고 주장했다.

김승주 교수, "유심유출, 금전적 문제 불가능"...불안감 조장 자제해야

<div><figure><img src="https://newsimg.sedaily.com/2025/05/02/2GSN2J9KW9_1.jpg" /></figure>SK텔레콤 유심 해킹으로 유출된 데이터 양이 9000권 분량에 달하는 것으로 확인됐다.최민희 국회 과학기술정보방송통신위원장은 29일 "SK텔레콤 해킹으로 유출된 데이터 양이 9.7GB"라고 밝혔다. 최 위원장은 "이는 300쪽 분량 책 9000권, 약 270만쪽에 해당하는 방대한 양"이라고 설명했다.최 위원장이 확보한 자료에 따르면 SK텔레콤 보안관제센터는 지난 18일 오후 6시 9분 비정상 데이터 이동을 처음 감지했다. 이때 유출된 데이터에는 유심 관련 핵심 정보가 포함됐다.SK텔레콤은 다음날인 19일 오전 1시 40분 악성코드가 발견된 과금 분석 장비를 격리했다. 이후 19일 오후 11시 40분 홈가입자서버(HSS)의 데이터 유출 정황을 확인했다. HSS는 4G·5G 가입자의 통화 인증을 수행하는 핵심 시스템이다.이에 법조계에서는 SK텔레콤을 상대로 한 집단소송이 잇따르고 있다. 노바법률사무소 이돈호 대표변호사는 "나도 SK텔레콤 가입자"라며 집단소송에 나서겠다고 밝혔다. 이 변호사는 "2300만명이 가입된 1위 업체가 개인정보 유출에 제대로 대비했어야 했다"며 "해킹 관련 공지도 없이 뉴스로 알게 됐다"고 지적했다. 또 구글 '버즈' 소송에서 122억원 배상 사례를 들며 "징벌적 손해배상이 필요하다"고 강조했다.법무법인 대건도 집단소송에 착수했다. 대건 측은 "피해자 경제적 부담 최소화를 위해 참가비나 소송 비용을 청구하지 않겠다"며 "기업이 개인정보를 무겁게 다뤄야 한다는 인식 확산이 중요하다"고 밝혔다.정치권도 SK텔레콤의 책임을 강조하고 있다. 이정문 더불어민주당 정책위 수석부의장은 "정부와 SK텔레콤은 근본적 대책 마련에 힘써야 한다"며 "책임 소재를 명확히 해 엄중히 처벌해야 한다"고 촉구했다.민주당은 오는 30일 국회 과방위 청문회에 유영상 SK텔레콤 대표이사를 증인으로 채택하는 방안을 추진 중이다.김상훈 국민의힘 정책위의장도 "국내 통신시장 핵심 기업이 기본적 정보보호도 수행하지 못한 점은 심각한 문제"라며 "명확한 책임을 묻고 실질적 대응책을 마련해야 한다"고 강조했다.</div>

SK텔레콤 유심 해킹으로 유출된 데이터 양이 9000권 분량에 달하는 것으로 확인됐다. 최민희 국회 과학기술정보방송통신위원장은 29일 "SK텔레콤 해킹으로 유출된 데이터 양이 9.7GB"라고 밝혔다. 최 위원장은 "이는 300쪽 분량 책 9000권, 약 270만쪽에 해당하는 방대한 양"이라고 설명했다.

이돈호 변호사 "나도 SKT 가입자, 집단소송 시작"…유출 데이터 '책 9000권 분량'

<div><figure><img src="https://www.koreadaily.com/data/photo/202505/02/d0ed1df3-8701-40a1-8ae3-6d64bb5efba2.jpg" /></figure>산타클라리타(Santa Clarita)에 거주하는 25세 남성 라이언 미첼 크레이머(Ryan Mitchell Kramer)가 월트디즈니 컴퍼니의 내부 데이터를 해킹해 유출한 혐의로 유죄를 인정했다. 법무부에 따르면, 크레이머는 2024년 온라인 플랫폼 깃허브(GitHub) 등 여러 웹사이트에 'AI 생성 예술 프로그램'으로 위장한 악성 프로그램을 업로드했다. 그러나 이 프로그램은 실제로는 다운로드한 사용자의 컴퓨터에 접근할 수 있도록 설정된 해킹 툴이었다. 피해자 중 한 명은 버뱅크에 위치한 디즈니 직원으로, 크레이머는 해당 직원의 컴퓨터에 저장된 개인 및 업무용 로그인 정보, 사내 슬랙(Slack) 채널 데이터 등에 무단으로 접근해 약 1.1테라바이트(TB)에 달하는 기밀 정보를 다운로드했다. 그는 이후 자신을 ‘널벌지(NullBulge)’라는 가상의 러시아 해킹 그룹의 일원이라고 사칭하며, 피해자에게 이메일과 디스코드(Discord)를 통해 접근해 데이터 유출 협박을 시도했다. 피해자가 응답하지 않자, 크레이머는 실제로 디즈니 내부 자료와 피해자의 개인·금융·의료 정보를 온라인에 유출했다. 수사에 착수한 FBI는 크레이머를 체포했고, 그는 동일한 수법으로 다른 피해자 2명도 해킹한 사실을 인정했다. 그는 컴퓨터 무단 접근 및 보호된 컴퓨터에 대한 손상 위협 혐의 2건에 대해 유죄를 인정할 예정이다. 각 혐의는 최대 5년형에 해당하며, 크레이머는 수주 내로 로스앤젤레스 연방법원에 첫 출석할 예정이다. AI 생성 기사 </div>

산타클라리타(Santa Clarita)에 거주하는 25세 남성 라이언 미첼 크레이머(Ryan Mitchell Kramer)가 월트디즈니 컴퍼니의 내부 데이터를 해킹해 유출한 혐의로 유죄를 인정했다.

AI인 줄 알고 설치했더니…디즈니 해킹한 25세 남성 체포

<div>‘유심(USIM)과 이심(eSIM) 교체는 효과 있음’. ‘휴대전화 기기 교체는 효과 없음’.2일 개인정보보호위원회가 SK텔레콤의 개인정보 유출 사고와 관련해 발표한 '유심 구성 및 유심 복제 방지대책'을 이렇게 요약했다.<figure><img src="https://img.segye.com/content/image/2025/05/03/20250503501130.jpg" /></figure>SKT 해킹 사태로 유출된 개인정보로 인한 2차 피해를 막기 위한 안전하고도 간편한 방법은 유심이나 이심을 교체하는 것이다.유심은 휴대전화에 삽입돼 기기 개통이나 네트워크를 인증하는 데 쓰이는 심을 뜻한다. 이심은 유심과 동일한 역할을 하지만 단말기에 내장된 칩에 통신사의 정보를 내려받는 형태의 심을 의미한다.두 심 모두 가입자를 식별하는 역할을 한다. 유심이 물리적으로 교체하는 하드웨어라면 이심은 다운로드 방식의 소프트웨어라는 차이점이 있다.개인정보위 관계자는 “이용자가 유심을 교체했다면 타인이 유심을 복제해 다른 휴대전화에 꽂았다고 하더라고 쓸 수 없게 된다”며 “유심을 바꾸면 가입자 식별번호(IMSI) 및 인증키(K)가 재발급돼 해커가 탈취한 정보와 매칭되지 않기 때문에 기존 정보는 더 이상 유효하지 않게 된다”고 설명했다.이심 교체도 이와 같은 원리로 유심 정보를 도용해 복제한 뒤에 금전적·사회적 피해를 주는 심 스와핑을 방지할 수 있다고 개인정보위는 부연했다.단말기 식별번호(IMEI)와 유심 정보를 묶어서 관리하는 ‘유심 보호 서비스’ 가입도 2차 피해를 막을 수 있다.개인정보위 관계자는 “해당 서비스에 가입해 놓을 경우 (해커가 복제한 유심을) 다른 휴대전화에 삽입했더라도 해당 휴대전화는 작동이 안 된다”고 말했다.<figure><img src="https://img.segye.com/content/image/2025/05/03/20250503501131.jpg" /></figure>KT나 LG유플러스 등 다른 통신사로 갈아타거나, 휴대전화 번호를 변경하는 것도 개인정보 유출 피해를 차단하는 좋은 방법이다.통신사를 바꾸면 기존에 SKT의 홈가입자서버(HSS)에 누적됐던 정보가 삭제되기 때문에 해커가 복제한 유심을 통해 이용자를 식별하긴 어렵다.전화번호를 변경하면 HSS 내 가입자 식별번호가 변경돼 해커가 탈취한 가입자 식별번호와 일치하지 않게 되면서 가입자 식별에 실패할 수밖에 없다.다만 휴대전화 기기를 바꾸는 것은 소용이 없다.개인정보위 관계자는 “기기 교체 시 HSS 내 정보는 그대로 유지돼 복제 유심 인증을 차단하는 데는 실효성이 없다”고 강조했다.김기환 기자 kkh@segye.com [ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]</div>

‘유심(USIM)과 이심(eSIM) 교체는 효과 있음’. ‘휴대전화 기기 교체는 효과 없음’. 2일 개인정보보호위원회가 SK텔레콤의 개인정보 유출 사고와 관련해 발표한 '유심 구성 및 유심 복제 방지대책'을 이렇게 요약했다.

“엄마, 휴대폰 바꾸지 마세요. 개인정보 차단 못 한대요”…‘이것’만 바꾸면 된대요 [수민이가 궁금해요]

SK텔레콤 유심 해킹 사태가 심상치 않다. USIM(Universal Subscriber Identity Module)은 스마트폰이 누구 것인지를 알려주는 인증카드로, 우리는 금융거래나 메신저 채팅, 택시를 부를 때도 이 얇은 칩 하나로 자신을 증명한다. 일종의 모바일 신분증이다. 이번 해킹으로 유심 스와핑을 통한 금융사기 우려가 제기되니 ‘탈 SK텔레콤’ 바람이 거세다. 아직 피해 사례가 없는데도 ‘탈출은 지능 순’이라며 이미 9만 명이 통신사를 옮겼고, SK텔레콤 주가는 폭락 중이다.

[금주의 키워드] 유심

관련 뉴스