 |
| (사진=연합뉴스) |
[알파경제=이준현·김영택 기자] SK텔레콤이 지난해 발생한 대규모 개인정보 유출 사태 이후 고객 안심을 위해 도입한 '유심 재설정' 서비스의 보안 효과에 대한 의문이 제기되고 있다.
당시 SK텔레콤은 2300만 명에 달하는 가입자의 전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 개인정보가 유출되는 최악의 사이버 공격을 겪었다.
이후 SK텔레콤은 수십만 명의 가입자에게 유심 교체 또는 재설정을 안내했으며, 특히 '유심 재설정'이 실물 유심 교체와 동일한 보안 효과를 제공한다고 홍보하며 고객들을 안심시켰다.
그러나 최근 독일에서 열린 보안 컨퍼런스 '39C3'에서 유심 재설정 후에도 인증키 값이 변경되지 않아 도청 가능성이 있다는 연구 결과가 발표된 것이다.
SK텔레콤이 고객 보호 의무를 충실히 이행하지 않았다는 비판이 제기되고 있다.
 |
| (사진=연합뉴스) |
◇ 보안 컨퍼런스 ‘39C3’, 유심 재설정 전후로 인증키 값 변화 없어 발표 나와
독일 베를린공대 박신조 박사 연구진은 '39C3'에서 SK텔레콤의 유심 재설정 전후 인증 토큰을 분석한 결과, IMSI는 변경됐으나, 인증키는 그대로 유지됨을 확인했다고 발표했다.
통신 가입자 인증은 유심과 네트워크 간 공유된 인증키를 통해 이뤄지는데, 연구진은 유심 재설정 이전과 이후에 동일한 인증 토큰을 사용해 인증을 시도했을 때 모두 성공하는 것을 확인했다.
이는 유심 재설정만으로는 인증키 자체가 변경되지 않음을 시사한다.
연구진은 인증키가 변경되지 않을 경우, IMSI 값만 확보하면 유심 복제가 가능해져 2차 피해가 발생할 수 있다고 지적했다.
박신조 박사는 현장에서 유심 재설정이 유심 교체 시간을 벌기 위한 '임시방편'에 불과하다고 덧붙였다.
 |
| (사진=연합뉴스) |
◇ SK텔레콤 “유심 재설정 솔루션, 유심 교체와 동일한 효과” 주장
SK텔레콤은 지난해 4월 해킹 사태로 유출된 정보 중 인증키가 복사될 경우 유심 복제가 가능하다는 우려가 제기되자, 5월부터 '유심 재설정 솔루션'을 지원한다고 공식 발표했다.
당시 SK텔레콤은 이 솔루션이 기존 유심의 네트워크 인증 정보만 변경해 실물 유심 교체와 동등한 수준의 정보 보호 효과를 제공한다고 주장했다.
하지만 해외 보안 컨퍼런스에서 제기된 인증키 불변성 문제는 최악의 경우 도청까지 가능할 수 있다는 우려를 낳고 있다.
염흥열 순천향대학교 정보보호학과 교수는 언론 인터뷰에서 "유심 재설정 시 인증키가 변경되지 않았다면 SK텔레콤의 기술적 오류"라고 지적했다.
그는 "IMSI(가입자 식별 모듈)를 평문으로 전송하는 LTE 환경에서는 유출된 인증키를 이용해 암호화된 음성을 복호화하는 도청이 기술적으로 불가능하지 않다"고 덧붙였다.
 |
| (사진=연합뉴스) |
한 전문가는 "인증키 유출 가능성이 제기된 상황에서 '유심 교체와 동일한 보안 효과'라는 표현으로 유심 재설정을 적극 안내했다면, SK텔레콤은 그 효과에 대한 충분한 검증과 설명 책임을 진다"고 설명했다.
이어 "사후적으로 효과가 미흡하다는 지적이 나온 만큼, SK텔레콤은 당시 판단 근거와 책임 소재를 명확히 밝히고 고객 보호에 나서야 한다"고 강조했다.
이에 대해 SK텔레콤 관계자는 알파경제에 “초반에 인증 키 값이 변경되지 않는 걸 확인해서 조치를 취했다”면서 “사실 유심 재설정 같은 경우에는 지금 업데이트가 돼 있는 상태라서 현재 문제가 없다고 보면 된다”고 말했다.
알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)
