SK텔레콤 이용자들은 이번 유심(USIM) 해킹 사태로 개인 정보 유출에 대한 불안감을 호소하고 있다. 특히 유심이 가입자의 식별∙인증 정보를 저장하는 디지털 신분증 역할을 하는 터라 단순한 개인 정보 유출을 넘어 명의도용, 금융사기 등 2차, 3차 피해로 확산할 수 있다는 점에서 우려가 크다.
유심 정보 유출로 가장 우려되는 범죄는 심 스와핑(SIM Swapping)이다. 유심 정보를 도용∙복제해 피해자의 은행이나 가상화폐 계좌를 탈취해 자산을 훔치는 신종 해킹으로 금전적∙사회적 피해를 일으킨 심 스와핑 사례들이 국내외에서 심심찮게 발생한 바 있다.
미국에서는 2018년 한 가상화폐 투자자가 이동통신사의 부주의 때문에 심 스와핑 피해를 봤다며 통신사인 AT&T를 상대로 2억 달러 규모의 소송을 낸 사례가 있다.
2019년 잭 도시 트위터(현 X) 창업자는 심 스와핑에 당해 트위터 계정을 탈취당했다. 본인 트위터 계정이 털리면서 직접 작성하지 않은, 흑인∙유대인을 지칭하는 인종차별적 속어와 ‘히틀러는 죄가 없다’ 등의 글이 게시되기도 했다.
2021년에는 미국 통신사 T모바일 이용자 수백명이 심 스와핑 피해를 봤다. 미국 연방수사국(FBI)은 2021년 한 해 동안 심 스와핑으로 약 6800만 달러(약 680억 원) 규모의 피해가 발생했다고 보고한 바 있다.
국내에서는 2022년 40건의 심 스와핑 피해 의심 사례가 발생했다. 당시 피해자들은 휴대전화가 갑자기 먹통이 되고 ‘단말기가 변경됐다’는 알림을 받은 뒤 적게는 수백만원에서 많게는 2억7000만원 상당의 가상자산을 도난당한 것으로 알려졌다.
SK텔레콤은 심 스와핑 등 2차 피해 예방을 위한 대책 마련에 나섰다. ▲전체 시스템 전수 조사 ▲불법 유심 기기 변경∙비정상 인증 시도 차단 강화 ▲피해 의심 징후 발견 시 즉각적인 이용 정지∙안내 조치 강화 등의 조치를 곧바로 시행한다고 밝혔다.
홈페이지를 통해 신청자에게 유심 보호 서비스도 무료로 제공한다. 유심 보호 서비스는 유심 임의 사용과 무단 기기 변경, 해외 로밍 등을 차단해 유심 복제 피해를 막는다. 전 이용자를 대상으로 서비스 가입 권장 문자메시지(MMS)도 순차적으로 발송하고 있다. 문자는 유심 보호 서비스 특징과 세부 가입 절차를 자세하게 안내한다.
가입자들 사이에선 유심보호서비스 외에도 유심 비밀번호를 재설정하는 것도 피해를 막는 방법으로 알려져 있지만, 이는 실제 기기에 있는 유심을 꺼내 복제하려는 시도를 막기 위한 용도이지, 유출된 유심번호로 심스와핑을 막지는 못한다는 게 SK텔레콤 측 설명이다.
일각에선 과도한 불안은 경계해야 한다는 목소리도 나온다. 이번에 SK텔레콤이 악성코드 해킹공격을 당해 외부 유출된 것으로 추정되는 유심 관련 정보는 이동가입자식별번호(IMSI), 단말기 고유식별번호(IMEI) 등 일부다. 이 정보들만으로는 유심 불법 복제가 이뤄질 가능성은 높지 않다는 게 업계 중론이다.
이런 상황에서 확인되지 않은 거짓 정보나 가짜 뉴스마저 퍼지면서 문제 해결을 더욱 어렵게 하고 있다. 이른바 일부 정치 편향 사이트나 커뮤니티를 중심으로 이번 사건이 중국이 오는 6월 열리는 한국의 대통령 선거에 개입하기 위해 일으켰고, 이재명 더불어민주당 대선 후보와도 관련이 있다는 주장이다. 특히 이들은 유심을 절대 교체하면 안된다고 주장하는 등 근거 없는 낭설을 퍼뜨리고 있다.
이들의 주장은 이용자들이 피해 예방책 마련 등에 나서지 못하도록 조장하고 있다. “SKT 유심 사태의 목적은 부정선거고, 과도한 공포를 조장해 중국산 유심을 심기 위한 여론몰이 중”이라거나 “쥐도 새도 모르게 단말기가 개통돼 사전 선거 투표가 가능해질 수 있다” 등 터무니 없는 주장으로 혼란을 유발하고 있다.
결국 피해자들의 유심 교체나 예방책 마련을 주저하게 하는 주장들이다. 보안 전문가들은 유심 교체가 가장 안전한 방법이라고 입을 모으는 가운데 이런 주장이 사태 해결이나 예방책 마련을 방해하고 있는 셈이다.
이정인 기자 lji2018@segye.com
