SK텔레콤 내부 시스템 해킹으로 가입자 유심(USIM) 정보가 유출된 이후 소비자들의 불안감이 걷잡을 수 없이 확산하고 있다. SK텔레콤은 “유출된 정보로 유심이 복제되더라도 자산 탈취 위험성은 없다”며 유심 보호 서비스 가입을 재차 당부했다.
SK텔레콤은 30일 유심을 둘러싼 오해에 관한 설명이라는 제목의 보도자료를 통해 소비자들을 위한 정보 및 조치 현황을 공개했다.
SK텔레콤 설명에 따르면 유심에는 ▲국제 이동통신 가입자 식별번호(IMSI)·가입자 인증키(Ki) 등 가입자를 식별하고 인증하기 위한 정보 ▲모바일 티머니·인증서 등 사용자가 유심에 직접 저장한 정보가 포함된다. 전자는 네트워크(망)에 연동되지만, 후자는 연동되지 않기 때문에 이번 유출 사고와는 관련 없는 정보다.
과학기술정보통신부가 전날 발표한 1차 조사 결과에 따르면 가입자 전화번호, IMSI 등 유심 복제에 활용될 수 있는 정보 4종이 유출된 것으로 나타났다. 다만 단말기 고유식별번호(IMEI)는 유출되지 않은 것으로 확인됐다. 이에 따라 과기정통부는 SK텔레콤이 시행 중인 유심보호서비스에 가입할 경우, 유출된 정보로 유심을 복제해 다른 휴대폰에 꽂아 불법적 행위를 하는 심 스와핑을 방지할 수 있다고 설명한 바 있다.
SK텔레콤은 “탈취한 이들 유심 정보로는 유심만 복제되는 것”이라며 “유심 복제만으로는 은행이나 가상자산 계좌가 탈취되거나 공인인증서 등이 복제되지 않는다. 유심 정보에 주민등록번호, 계좌번호, 은행 공공인증서(OTP) 등 정보가 담겨 있지는 않기 때문”이라고 설명했다.
만약 불법 복제 유심으로 해커가 휴대전화 재부팅을 유도한 뒤 심 스와핑에 성공했다 하더라도 금융거래에 필요한 개인정보나 비밀번호 등은 없어 추가적인 범죄 행위 없이는 금융자산을 탈취할 수 없다고 강조했다.
SK텔레콤은 현재 ▲비정상인증시도 차단(FDS) 강화 ▲유심보호서비스 가입 ▲유심 교체 등 3중 보호장치를 적용 중이다. 유심보호서비스는 유심을 복제해 다른 휴대전화로 기기를 변경하는 시도를 차단하는 보안 서비스로 SK텔레콤이 가입을 적극 유도하고 있다.
SK텔레콤은 “동일한 번호의 2개 회선이 동시에 통신망 시스템에 접속하는 것은 불가하지만, 휴대폰 전원이 꺼져 있는 시점에는 복제폰이 통신망 시스템에 접속할 가능성이 있다”며 “이러한 가능성을 차단하는 것이 FDS와 유심보호서비스이기 때문에 유심보호서비스 가입을 권장한다”고 전했다.
그러면서 “FDS와 유심보호서비스 외에 추가 안전장치를 원하는 소비자에게 유심 교체를 무료로 제공하고 있다”며 “유심 교체 시 공동인증서 등 유심에 다운로드 한 정보는 새로 설치해야 하는 불편함이 있다”고 설명했다.
이에 SK텔레콤은 유심 교체와 동일한 효과가 있는 유심 포맷(초기화) 서비스를 개발 중이다. 소비자가 보유한 기존 유심 정보를 소프트웨어 측면에서 변경하는 방식으로, 물리적으로 유심을 교체할 때와 비교해 교체 소요시간이 다소 줄어들 것으로 예상된다.
SK텔레콤은 또한 유심 비밀번호를 설정하는 것은 이번 해킹 사고와는 관련이 없으며, 패스(PASS) 앱의 명의도용방지서비스는 유심보호서비스와 다른 것이라고 설명했다.
SK텔레콤은 “유심보호서비스로 해킹 피해를 막을테니 믿고 가입해 달라”며 “이번 사고로 유심 정보가 유출돼 불법 유심 기기변경으로 인한 피해가 발생할 경우 SK텔레콤이 책임지겠다. 소비자들의 우려를 해소하고 이번 사고가 조기에 해결되도록 최선을 다하겠다”고 밝혔다.
이화연 기자 hylee@segye.com
