SKT “유심 해킹돼도 심 스와핑 우려 없다”…스미싱 주의 당부 [일문일답]

▲류정환 SKT 네트워크인프라센터장이 2일 오전 서울 중구 을지로 SKT타워에서 열린 이용자 유심정보 해킹사태 관련 데일리 브리핑에서 2차 피해 발생 가능성 등을 설명하고 있다. 사진=이태민 기자

SK텔레콤이 일각에서 제기되는 '심 스와핑(탈취자가 가입자의 유심을 무단 복제해 가상자산 등을 털어가는 행위)' 우려에 대해 “유심(USIM·가입자식별모듈) 정보만으로 금융 자산을 탈취할 수 없다"고 일축했다. 이와 함께 이번 사고를 악용한 유심 교체 관련 스미싱(문자 사기) 범죄에 대한 주의도 당부했다.

SKT는 2일 오전 서울 중구 을지로 SKT타워에서 진행된 데일리 브리핑에서 이번 사고와 관련해 업계 안팎에서 제기되는 각종 의문에 직접 답변했다.

먼저, 가장 많은 우려가 나온 '심 스와핑'과 같은 금융 피해 발생 가능성은 없다고 강조했다. 민관합동조사단 1차 조사 결과에 따르면 유심 관련 정보만 유출된 상태로, 단말기 고유식별번호(IMEI) 유출은 없는 것으로 확인됐다. △금융자산 △개인 연락처 △인증 정보 등은 유심이 아닌 IMEI 내부에 보관돼 외부로 유출되지 않았다는 설명이다.

아울러 최근 급증하고 있는 '유심 재고 도착' 관련 문자에 대해선 “유심 도착 관련 문자를 보낸 적이 없다"며 스미싱 피해에 유의할 것을 강조했다. 대기 순서에 따라 재고 관련 안내 문자를 발송할 예정이며, 이 과정에서 반드시 114 번호에 인증마크를 첨부할 예정이다. 다음은 류정환 SKT 네트워크인프라센터장(부사장)과의 일문일답.

아니다. 금융자산을 탈취하려면 금융거래에 필요한 개인정보나 비밀번호 등이 필요하다. 유심에는 이런 정보가 없어 유심정보만으로는 금융자산을 탈취할 수 없다.

아니다. 연락처나 문자, 앱 등은 휴대폰의 자체 메모리나 유심 메모리에 저장될 수 있다. 유심은 △망과 연동되는 부분 △물리적 메모리로 나눌 수 있는데, 이번 사고로 유출된 정보는 망과 연동되는 부분이다. 따라서 연락처·문자·휴대전화 앱 등 정보는 복제할 수 없다.

다만 도난을 당했을 땐 위험하다. 이 경우엔 물리적인 부분이 문제가 되는 거지 이번 사고와는 관계가 없다. 유심보호서비스와 이상거래탐지시스템(FDS)으로 차단하기 때문에 복제 자체도 불가하다.

아니다. 유심에는 이름·주민등록번호 등 정보는 담겨 있지 않다. 유심은 망과 연동되는 가입/인증 정보와 가입자가 직접 저장한 정보로 구성된다. 이번 사고로 유출된 정보는 망과 연동되는 부분이기 때문에, 개인정보·계좌정보는 유출 사고와는 관련이 없다.

민관합동조사단 1차 조사 결과에 따르면, 유출된 정보는 유심과 관련된 정보로 확인됐다. 따라서 유심을 교체하거나 유심보호서비스에 가입하면 안전하다. 해당 서비스는 유심 교체와 동일한 효과를 지닌 보안 장치로, 교체를 원하는 모든 이용자에게 무료 제공하고 있다.

은행 인증과 이번 사고는 관련이 없다. 은행 앱에서 금융거래를 하려면 비밀번호·일회용 비밀번호 생성기(OTP) 등 추가 인증수단이 필요한데, 해당 정보는 이번 사고와 관련이 없다. 은행 앱에서 이뤄지는 일련의 절차 관련 정보는 유심이 아닌 앱에 저장된다. 설령 앱이 작동되더라도 소셜네트워크서비스(SNS)나 공인인증서를 통한 인증 절차가 필요하므로 유심과 관계가 없다.

이번 사고는 에이닷 서버와 관련이 없다. 에이닷 음성녹음 파일은 개인 단말에 저장되며 서버에 저장되지 않는다.

이번에 해킹된 홈 가입자 서버(HSS)는 시간적 처리에 민감한 장비로, 전화하면 바로 인증돼야 한다. HSS 안에 있는 장비 자체는 암호화가 안 돼 있도록 하는 게 국제이동통신표준화기구(3GPP) 기술 표준이다. 인크립션(암호화)-디크립션(복호화) 과정을 거치면 지연이 발생할 수 밖에 없다. 다만 이번 사태를 계기로 회사는 HSS 자체에서도 암호화가 될 수 있는 장치가 있는지 없는지 검토하기 위해 전문가 등으로 구성된 자문단을 만들었다. 이에 대한 대책을 모색코자 한다.

이태민 기자 etm@ekn.kr