[알파경제=이준현 기자] 이동통신 가입자 2300만명을 보유한 국내 최대 통신사 SK텔레콤이 사이버 공격에 뚫려 고객 유심 정보가 유출된 가운데, 복제폰 제작과 금융사기로 이어질 수 있는 2차 피해 가능성에 대한 우려가 커지고 있다.

특히 SK텔레콤이 정확한 유출 규모와 대상을 파악하지 못하고 있다는 사실에 우려의 목소리가 높아지고 있다.

◇ 안일한 초기 대응에 이용자들 '분노'

SK텔레콤은 따르면 지난 19일 SK텔레콤 내부 시스템에 악성코드가 심어진 정황이 발견됐다고 22일 밝혔다.

SK텔레콤은 즉시 악성코드를 삭제하고 해킹 의심 장비를 격리하는 조치를 취했다. 이어 20일 한국인터넷진흥원(KISA)에 침해 사고를 신고했고, 22일에는 개인정보보호위원회에도 신고했다.

그러나 일부 이용자들은 회사 측의 고지 방식을 두고 강한 불만을 표출했다. SK텔레콤은 개별 고지 없이 홈페이지 공지만 진행했는데, 이에 대해 "중대한 해킹 사고를 문자 등으로 알리지 않은 것은 무책임하다"고 비판을 제기한 것이다.

이에 대해 SK텔레콤 관계자는 "현재 유출 정황만 확인된 상태로, 실제 어떤 정보가 어느 고객에게 유출됐는지는 아직 파악되지 않았다"며 "확정된 피해가 확인되면 개별 안내를 진행할 예정"이라고 해명했다.

또한 알뜰폰 고객들의 유심 정보도 SK텔레콤 서버에 저장되어 있을 가능성이 높아 불안감이 확산되고 있다. 다만, SK텔레콤은 현재로선 알뜰폰 사용자 피해는 확인되지 않았다고 밝혔다.
 

◇ SK텔레콤, 피해 규모도 파악 못 해

이번 사태에서 가장 심각한 문제는 유출된 정보가 '복제폰'에 악용될 수 있다는 점이다.

SK텔레콤은 이동가입자식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등이 유출됐을 가능성이 있다고 밝혔다.

이 정보들은 유심을 복제하는 데 활용될 수 있다. 복제된 유심으로 만든 휴대폰(일명 '심 스와핑')은 실제 사용자의 전화번호로 통화나 문자를 주고받을 수 있어, 본인인증 과정을 우회하는 데 악용될 위험이 크다.

다만 업계에서는 이들 정보만으로는 유심 불법 복제가 이뤄질 가능성은 높지 않다는 의견도 있다. 복제를 위해선 IMSI, IMEI 정보 외에도 가입자 신상정보(성명, 주민번호, 주소 등)와 서비스센터 전화번호 등 다른 부가적인 정보들이 있어야 한다는 설명이다.

그럼에도 일각에서는 유심이 가입자의 식별·인증 정보를 저장하는 '디지털 신원' 역할을 한다는 점에서 유심 인증키가 유출될 경우 해커가 피해자의 전화번호를 도용해 은행, 주식, 암호화폐 거래소 등에 접근할 수 있다는 우려가 제기된다.

특히 인증번호를 문자로 받는 방식의 취약점을 이용해 계정 탈취와 금융사기로 이어질 가능성이 있어 주의가 필요하다는 지적이다.

또 최근 금융권에서는 다중 인증 과정에서 휴대폰 문자 인증을 널리 사용하고 있어, 복제폰 제작이 가능할 경우 2차 피해 가능성을 배제할 수 없다.

실제로 해외에서는 SIM 스와핑 공격을 통해 암호화폐를 탈취하는 사례가 다수 보고된 바 있다.

트위터(현 X)를 만든 잭 도시 전 최고경영자(CEO)가 2019년 심 스와핑에 당해 그의 트위터 계정이 인종차별적인 글로 도배된 적이 있었다. 또 2021년 미국 통신사 T모바일 고객 수백명이 심 스와핑 피해를 봤다.

국내에서도 2022년 초 약 40건의 SIM 스와핑 의심 사례에 대해 서울경찰청 사이버범죄주사대가 수사를 진행한 바 있다. 당시 피해자들은 수백만 원에서, 많게는 2억7천만원 상당의 가상자산을 도난 당한 것으로 알려졌다.

이런 사례가 재발하지 않도록 이통업계는 2022년 심스와핑 의심 피해 사례가 나온 후 보안 대책을 강화했다.

SK텔레콤은 2023년 8월부터 비정상 인증 시도 차단 시스템(FDS)을 구축했다. 이 시스템은 이동통신 기지국 위치가 전혀 다른 곳에서 '기기 변경(유심교체)'이 이뤄졌을 경우, 이를 심스와핑 공격으로 의심해 즉각 차단하는 기능을 한다.

무엇보다 SK텔레콤은 정확한 유출 규모와 대상을 파악하지 못하고 있다는 사실에 우려의 목소리가 높아지고 있다. 회사 측은 "현재로서는 유출 정황만 확인된 상태"라고 밝혔다.
 

◇ SK텔레콤 유출 사고 조사 착수

SK텔레콤은 당장의 대응책으로 유심보호서비스를 무료로 제공하고 있다.

이 서비스는 타인이 가입자의 유심을 임의로 사용할 수 없게 차단하고, 해외에서 음성, 문자, 데이터 서비스를 이용할 수 없도록 해외 로밍을 제한하는 기능을 한다.

회사는 30일까지 전체 회선 가입자에게 유심보호서비스 관련 문자를 순차적으로 발송하겠다고 밝혔다.

이번 사고는 개인정보보호법상 '안전조치 의무'(제29조) 위반에 해당할 가능성도 있다. 개인정보보호법 제64조의2에 따르면, 위반 행위와 관련된 매출액의 최대 3%까지 과징금을 부과할 수 있어 SK텔레콤은 상당한 법적 책임에 직면할 수 있다.

과학기술정보통신부는 이미 정보보호네트워크정책관을 단장으로 하는 비상대책반을 구성했고, 필요시 민관합동조사단을 구성해 심층적인 원인분석과 재발방지 대책을 마련하겠다고 밝혔다.

개인정보보호위원회도 22일 오전 0시경 SK텔레콤으로부터 유출 신고를 접수받아, 조사에 즉시 착수했다고 밝혔다.

더 근본적인 문제는 통신사의 중앙집중식 데이터 관리 체계다. 수천만 고객의 유심 정보가 한곳에 집중되어 있어 한 번 뚫리면 대규모 정보 유출로 이어질 수밖에 없는 구조적 취약성을 안고 있다는 평가다.

 

[ⓒ 알파경제. 무단전재-재배포 금지]