SKT 해킹 사태, 유심칩 교체하면 안심해도 되나

[비즈한국] 해킹 사태가 발생한 SK텔레콤이 유심(가입자식별장치) 무상 교체를 시작했지만 유심 불법 복제 등 2차 피해 가능성에 대한 가입자 불안은 계속되고 있다. 회사가 꺼내든 피해 방지 조치는 시행 초기 이용자 쏠림으로 혼선을 빚으면서 우려를 가라앉히기에 역부족인 모습이다. 공급 물량이 부족해 소비자들은 줄을 서고도 유심을 교체하지 못하는 상황이 이어지고, 대안으로 여겨지는 ‘유심보호서비스’조차 신청자가 몰리면서 ‘가입 예약’ 시스템으로 전환됐다.

전문가들은 유심 교체가 금융 거래 등 범죄 활용 관련 근본 원인을 기술적으로 제거할 수 있는 현실적인 방안이라고 평가한다. 유심 정보만으로 은행 앱이 요구하는 인증 단계를 수행하기 어렵고, 통신사가 중앙에서 유심 복제나 도용 시도를 감지해 정확하게 차단하면 실제 피해로 연결되지 않는다는 설명이다. 다만 2차 피해를 완벽히 통제할 수 있는 건 아니라는 의견도 나온다.

#유심 교체 현 시점 ‘최선’

12일 차에 접어든 SK텔레콤 해킹 사태는 각종 쟁점을 촉발했다. 보안 관리에 허점이 있었는지 회사의 과실 여부를 따져보고 보상을 요구하는 목소리가 높아지는 가운데 정치권을 중심으로 지연 보고에 따른 법 위반 소지 역시 거론된다. 미진한 초기 대응을 두고도 지적이 제기된다.

유심 교체의 실질적인 효과는 이용자들의 최대 관심사다. 29일 SKT 침해사고에 대한 민관합동조사단의 1차 조사 결과 발표에 따르면 이번 사태로 유출된 정보는 가입자 전화번호와 가입자식별키(IMSI) 등 유심 복제에 활용될 수 있는 4종과 유심 정보 처리에 필요한 회사의 관리용 정보 21종이다.

눈여겨볼 부분은 기기 고유의 신분증 역할을 하는 단말기 고유식별번호(IMEI)는 유출되지 않았다는 점이다. 그동안은 유출 항목과 범위 등이 공개되지 않아 유심의 불법적 활용이 어디까지 뻗어나갈지를 예상하기 어려웠다. 조사단을 구성한 과학기술정보통신부는 IMEI 유출은 없었다는 점을 명확히 하며 “현재 SKT가 시행 중인 유심보호서비스에 가입하는 경우 이른바 ‘심스와핑’ 행위는 방지됨을 확인했다”고 전했다. 심스와핑은 해커가 도용 정보를 복제한 가짜 심 카드를 만들어 피해자의 전화나 문자, 금융 계정에 접근하는 사이버 범죄 방식이다.

SK텔레콤은 지난 18일 오후 6시 9.7GB에 달하는 데이터 이동을 최초 인지하고 같은 날 오후 11시 20분 악성코드를 발견한 뒤 해킹 공격을 받았다는 사실을 내부적으로 확인했다. 해킹 공격을 받은 SK텔레콤의 홈가입자서버(HSS)는 유심정보와 요금제 등 통합 데이터를 관리하는 핵심시설이다.

유출이 확인된 유심 정보만으로 유심 복제가 이뤄질 가능성은 높지 않다는 게 업계 중론이다. 황석진 동국대학교 국제정보보호대학원 교수(경찰청 디지털포렌식 자문위원)는 “금융정보를 활용하려면 신분 인증 절차를 거쳐야 하는데 아이디와 비밀번호, 인증서 암호 등에는 접근할 수 없기 때문에 실질적으로 한계가 있다”고 설명했다.

설령 복제폰을 만든다고 해도 이체 등 실제 피해로 이어질 여지가 낮다고도 봤다. 여기에는 유심보호서비스 등 통신사의 제어 장치가 적절히 작동한다는 전제가 뒤따른다. 황 교수는 “통신사가 네트워크 단에서 정상 등록된 단말기인지를 확인하고 복제 유심 감지와 차단을 수행하기 때문에 2차 피해가 실제로 발생하기 힘든 조건”이라고 덧붙였다.

권헌영 고려대 정보보호대학원 교수는 “유심 정보와 휴대폰에 담긴 정보를 구분할 필요가 있다”며 “구체적인 유출 내용과 피해 사실이 확인되지 않은 단계에서 지나치게 과열되는 건 경계해야 한다”고 말했다.

#100% 피해 차단은 ‘물음표’

SK텔레콤은 앞서 27일 추가 대책을 내놓고 “유심보호서비스 가입 후에도 불법 유심 복제 피해가 발생하면 책임지겠다”고 밝혔다. 유심보호서비스 관련 대응 역량을 강조하는 취지인데 막상 2·3차 피해 단계에 이르면 책임 여부를 따지기 어렵다는 회의적인 시각도 나온다.

한국디지털인증협회장을 맡고 있는 이기혁 중앙대 융합보안학과 교수는 “예를 들어 2년 전 해킹 공격을 받은 고용정보원의 데이터가 암시장에서 거래되고 있다는 가정 하에 SK텔레콤 HSS 서버와 고용정보원, 또 다른 사이트에서 유출된 한 개인에 대한 세 종류의 정보가 결합될 경우 문제가 생긴다. 해커들이 개인 맞춤형 공격을 할 수 있게 되는 것”이라고 설명했다. 이어 “정보 조합을 통해 피해가 발생했다면 그때 과연 SK텔레콤에 책임을 묻고 입증할 수 있을까”라고 반문했다.

조사단은 조사 과정에서 ‘BPFDoor’ 계열의 악성코드 4종을 발견했다. 이 악성코드는 은닉성이 높아 해커의 통신 내역을 탐지하기 어려운 게 특징이다. 염흥열 순천향대 정보보호학과 명예교수는 “일반적인 백도어는 해커가 1차 침투 뒤 재침투가 용이하도록 뒷문을 두는 개념이라면 이 방식은 스스로를 숨기는 ‘스텔스 기능’이 있어 탐지하기가 상당히 어렵다. 모니터링 체계에서 확인된 것이 불행 중 다행”이라고 짚었다.

#흔들린 ‘통신 보안’ 다음 챕터는…

권헌영 교수는 “이용자 측면에서 수습이 이뤄지는 가운데 이제는 이 사태가 왜 발생했는지를 검증해야 한다”고 제언했다. 2300만 가입자를 보유한 국내 1위 통신사의 핵심 데이터가 유출되기까지 보안 관리 체계의 문제는 없었는지 근본적인 진단이 필요하다는 것이다.

SK텔레콤은 정보보호에 경쟁사보다 적은 돈을 쓰고 있다. KISA의 정보보호 공시 포털에 따르면 SK텔레콤의 지난해 연간 정보보호 투자액은 약 600억 원이다. 전년 대비 9% 늘었지만 KT와 LG유플러스의 상승폭에 한참 못 미쳤다. KT와 LG유플러스의 투자액은 각각 1218억 원, 632억 원이다.

황석진 교수는 “KT와 LG유플러스는 해킹 사태를 겪으며 비용 투자와 보안 인력 증대 등의 조치가 있었다”며 “이번 해킹 방식을 보면 일시에 정보가 빠져나간 것이 아니라 상당히 오랜 시간에 걸쳐 진행됐을 가능성도 있다. 전면적인 보안 체계 개선과 투자가 필요하다”고 강조했다.

이번 사태로 통신사 서버가 ‘주요정보통신기반시설’에 포함되지 않았다는 사실이 알려지면서 정부의 관리 책임도 거론된다. 정부가 관련법에 따라 통신·금융·에너지 등 국가 핵심시설을 보안점검 대상으로 관리하는데, 현 제도에서는 정부 권한이 제한적이라 지정·관리 체계가 재검토돼야 한다는 지적이다.

이기혁 교수는 “통신은 전 국민이 이용하는 서비스인 만큼 이에 걸맞은 보안 잣대가 필요하다. 보안 취약점을 개선하는 게 첫 번째 과제이고 관리 역량이 뛰어난 보안 전문가 확보, 고도화되는 해킹 기술에 대한 체계 구축 등 변화가 요구된다”고 밝혔다.

SK텔레콤이 보유한 유심량은 100만 개로 전체 교체 대상자에 비해 부족해 유심 교체 서비스의 공백 상태를 야기한다는 목소리가 있다. 당분간 이용자들이 기기 교체나 통신사 갈아타기에 나서는 추세가 이어질 것이라는 전망이다. SK텔레콤은 유심 소프트웨어를 변경하는 ‘유심포맷(가칭)’ 방식과 유심보호서비스 확대로 해결방법을 강구하겠다는 입장이다. SK텔레콤은 “로밍서비스를 이용하며 유심보호서비스도 이용할 수 있도록 개발을 진행 중”이라고 전했다.

염흥열 교수는 “통신사를 이동하면 유심칩도 교체된다. 2차 피해 억제 효과에는 큰 차이가 없더라도 현재 유심칩 수급 문제가 가시화한 만큼 빠르게 조치하고자 하는 이용자들의 이탈이 나타날 수 있다”고 언급했다.

강은경 기자

gong@bizhankook.com

[핫클릭]

· 유심 털린 내 폰, 돈까지 뺏기지 않으려면? 기존 범행수법 뜯어보니

· [데스크칼럼] 백종원은 선생님도 멘토도 아닌 '사업가'인 것을…

· [단독] 쿠팡 '찍찍이 없는 프레시백' 테스트에 배송기사들 "꼼수" 반발, 왜?

· 최대주주 지분 매각 후 미스터리 회사 등장…동성제약에 무슨 일이?

· 해킹 당한 SKT '유심 무상 교체' 발표했지만 "이미 물량 부족"