⁠⁠⁠⁠⁠⁠⁠

SK텔레콤 유심 해킹 사태로 인한 무상 교체 2일 차인 지난 29일 서울 강남구의 한 SKT 직영대리점에 데이터 유심 수령 안내문이 붙어 있다. 이동근기자 foto@etnews.com

유튜브 등을 중심으로 SK텔레콤 유심(USIM) 해킹사고 관련 가짜뉴스가 퍼지면서 국민 불안과 혼란이 가중되고 있다. 보안 전문가들은 현재 밝혀진 사실을 토대로 금융사기 피해 가능성은 제한적이라며 지나친 우려를 경계했다.

국민 불안감을 자극하는 가짜뉴스의 핵심은 해커가 이번에 탈취한 유심 정보를 악용해 복제폰를 생성, 계좌이체, 결제 등 금전적 피해를 낼 수 있다는 것이다. 구체적으로 가입자식별키(IMSI)와 인증키(Ki) 탈취로 현금인출, 결제는 물론 2차 인증까지 가능하다거나 이미 탈취된 개인정보와 결합하면 피해는 더 커질 수 있다는 식이다.

전문가들은 이번 SK텔레콤 해킹사고가 금융사기로 번질 가능성은 현저히 낮다고 일축한다. 먼저 금융사기의 '키'로 불리는 단말기 고유식별번호(IMEI)가 유출되지 않아 유심보호서비스를 통해 복제폰 생성을 막을 수 있다. 과학기술정보통신부가 지난 29일 발표한 1차 조사결과를 보면, IMSI와 Ki 등 유심 복제에 활용될 수 있는 4종 등이 유출됐으며, IMEI는 유출되지 않았다. 또 유심을 복제했더라도 금융서비스를 이용하려면 별도 인증이 필요하다.

국내 사이버보안 기업 대표는 “IMEI가 유출되지 않았기에 '유심보호서비스'에 가입하면 2차 피해 등을 막을 수 있다”면서 “노인 등 정보기술(IT) 취약계층과 해외 체류자 등 사각지대에 대한 신속한 대책 마련은 필요하다”고 말했다.

염흥열 순천향대 정보보호학과 명예교수는 “심복제와 심스와핑(유심을 복제해 다른 휴대폰에 꽂아 불법적 행위를 하는 것) 공격 성공을 전제로 하더라도 2차 인증은 가능하지만 현금인출, 결제 등 금전적 피해가 발생하는 것은 불가능하다”고 말했다. 복제폰을 통해 문자메시지를 가로채 2차 인증을 할 수 있지만 금융서비스를 이용하려면 별도의 인증을 요구해서다.

김승주 고려대 정보보호대학원 교수 역시 “공인인증서와 일회용비밀번호(OTP)가 탈취되지 않는 한 금융사기는 발생하지 않는다”며 “카카오뱅크와 같은 인터넷전문은행 애플리케이션도 내부에(뒷단에) 인증서와 유사한 솔루션이 구동된다”고 말했다. 극단적으로 스마트폰을 물리적으로 빼앗겼더라도 본인이 아니면 인증을 할 수 없어 금융서비스를 이용할 수 없다는 설명이다.

다만, 국가정보원 등 극도의 보안을 요하는 정부와 대기업 등은 금융문제와 별개로 업무 내용 등 유출을 원천 차단하기 위한 근본수단으로 유심 변경을 권고하는 것으로 분석된다.

김 교수는 “로밍 서비스 이용 등을 이유로 유심보호서비스를 이용하지 못하는 경우 복제폰을 통해 문자메시지나 통화를 가로챌 가능성이 있다”며 “개인이 참고하기 위해 노트 애플리케이션에 기록한 업무 내용이 유출될 우려가 있어 조치한 것으로 보인다”고 말했다.

SK텔레콤도 진화에 나섰다. SK텔레콤은 자사 뉴스룸을 통해 탈취한 유심정보로 불법 복제 유심을 만들더라도 비정상인증시도차단(FDS)와 같은 보안 솔루션이 있어 SK텔레콤 망에 접속할 수 없다고 강조했다. 또 불법 복제 유심으로 심스와핑에 성공했다고 해도 금융거래에 필요한 개인정보나 비밀번호 등은 없어 추가적인 범죄행위 없이는 금융자산을 탈취할 수 없다고 했다.

조재학 기자 2jh@etnews.com

Copyright © 전자신문. 무단전재 및 재배포 금지.