IMEI 정보 유출 없던 것으로 확인 ‘복제폰’ 위험 없어졌다유심 정보 4종은 외부 유출 … ‘심스와핑’ 리스크는 여전SKT “유심 교체 온라인 예약, 유심보호서비스 가입 처리 용량 증대”
  • ▲ SK텔레콤 유심.ⓒ뉴데일리DB
    ▲ SK텔레콤 유심.ⓒ뉴데일리DB
    정부의 SK텔레콤 유심 정보 유출과 관련 조사 결과에서 단말기고유식별번호(IMEI)의 유출이 없었던 것으로 확인되면서 우려했던 최악의 상황은 피했다는 평가가 나온다. IMEI가 유심(USIM) 정보와 함께 유출된다면 그야말로 ‘복제폰’까지 가능해지는 최악의 상황에 처할 수 있었기 때문이다.

    29일 과학기술정보통신부는 SKT 해킹에 따른 정보유출 1차 민관합동조사 결과 가입자 전화번호, 가입자식별키(IMSI) 등 유심 복제에 활용될 수 있는 4종과 유심 정보 처리 등에 필요한 SKT 관리용 정보 21종이 유출된 것으로 확인했다고 밝혔다.

    다만 이 과정에서 IMEI의 유출이 없었던 것으로 확인됐다.

    IMEI는 휴대폰 단말기 제조 과정에서 부여되는 15자리의 고유 번호다. 단말기 제조사와 모델, 일련번호 등의 정보를 포함하고 있어 단말기의 가장 핵심적인 개인정보로 꼽힌다. 이용자의 유심 정보와 함께 IMEI를 활용한다면 그야말로 ‘복제폰’의 범죄에 노출될 수 있다. 같은 IMEI와 유심 정보의 단말기가 두 개가 돼 사실상 모든 조작과 정보가 넘어가게 되는 것이다. SKT 해킹 사고에서 거론되던 최악의 시나리오였다.

    물론 이 시나리오가 폐기됐다고 안심할 수만은 없다. 조사단이 현재까지 SKT에서 유출된 정보를 확인한 결과, 가입자 전화번호, 가입자식별키(IMSI) 등 USIM 복제에 활용될 수 있는 4종의 정보 유출이 있었던 것으로 확인됐다.

    ‘복제폰’의 위험으로부터는 안전해졌지만 유심을 복제해 다른 휴대전화에 꽂아 불법적 행위를 하는 이른바 ‘심스와핑’의 위험은 여전히 상존한다는 이야기다.

    ‘심스와핑’은 쉽게 말해 통신사가 보유한 유심 관련 정보를 통해 복제 유심을 이용하는 방식이다. 가입자의 통신을 가로채는 범죄로 ‘복제폰’만큼은 아니어도 다양한 서비스의 SMS 인증이나 ARS 인증을 가로채 대상자의 개인정보나 금전 등을 탈취하는 것이 가능하다. 

    이 때문에 과기정통부는 “현재 SKT가 시행 중인 ‘유심보호서비스’에 가입하는 경우, 금번 유출된 정보로 유심을 복제해 다른 휴대전화에 꽂는 심스와핑이 방지되는 것을 확인했다”고 말했다. 

    SKT도 유심 교체 온라인 예약과 유심보호서비스 가입 처리 용량 증대해 불편 해소에 총력을 기울인다는 입장이다. 앞서 SKT는 지난 27일 고객발표문을 통해 유심보호서비스를 통해 유심 불법복제에 의한 고객피해를 원천 차단할 수 있는 만큼 피해가 발생시 100% 책임지겠다고 발표표한 바 있다.

    SKT는 “유심 교체와 동일한 고객보호 효과를 평가받는 ‘유심보호서비스’도 로밍서비스를 이용하면서 동시에 해외에서도 이용할 수 있도록 개발을 진행 중”이라며 “5월 중순에는 새로운 서비스를 제공하기 위해 노력 중”이라고 밝혔다.

    한편, 이번 1차 조사에서 조사단은 정보 유출이 이뤄진 소비자 개개인의 정보는 특정하지 못했다. 조사단은 SKT가 공격을 받은 정황이 있는 3종, 5대 서버들을 조사했고, 기타 중요정보들이 포함되어 있는 서버들에 대해 조사를 확대 중이다.