계좌 털릴 가능성 높지 않아, 유심보호서비스 가입 또는 유심교체 필요
SK텔레콤, 이용자에게 제때 제대로 고지하지 않아 혼란 확산

[미디어오늘 금준경, 박서연 기자]

▲ 지난 26일 서울 시내에 위치한 한 SK텔레콤 대리점 모습. ⓒ연합뉴스

1위 통신사 SK텔레콤의 '유심'(USIM·가입자 식별모듈) 정보 유출 사태로 인한 불안이 확산되고 있다. SK텔레콤이 지난 19일 해킹 공격을 받아 이용자 정보가 유출된 정황을 확인했다. SK텔레콤과 SK텔레콤 망을 사용하는 알뜰폰 이용자는 2500만 명에 달한다. 일각에선 지나치게 우려가 커지고 있는 측면도 있다. 유심을 바꾸거나 유심보호서비스에 가입하면 피해를 막을 수 있다. 다만 SK텔레콤이 이용자들에게 제때 제대로 고지하지 않고 유심 보유량이 100만개뿐인 상황에서 무료교체를 선언해 혼란을 키운 점 등 '대응' 측면에선 논란이 불가피하다. 이번 사태와 관련한 궁금증을 일문일답으로 정리했다.

- 어떤 정보가 유출됐나?
29일 과학기술정보통신부의 1차조사 결과에 따르면 가입자 전화번호, 가입자식별키(IMSI) 등 유심 복제에 활용될 수 있는 4종과 유심정보 처리 등에 필요한 SK텔레콤 자체 관리용 정보 21종이 유출됐다. 유심 관련 정보가 유출되면 유심에 저장된 정보로 복제된 폰을 만드는 '심클로닝' 등 유심 관련 범죄에 악용될 가능성이 있다.

- 유심을 탈취하면 계좌도 탈취할 수 있나?
그렇지는 않다. 유심을 탈취해도 이용자 주민등록번호, 계좌번호를 가져갈 수는 없다. 이용자가 설치한 앱이 복제되지도 않는다. 유심 관련 정보를 가져갔다고 해서 탈취가 즉각 이뤄지는 것도 아니다. 스마트폰 2대의 유심이 동시에 활성화될 수 없어 둘 중 반드시 한 기기가 작동하지 않아야 한다.

- 사고 이후 계좌를 탈취당한 사례가 보도됐는데?
지난 28일 일부 언론이 SK텔레콤 휴대전화가 갑자기 해지된 후 본인 명의로 KT알뜰폰이 개통되고 5000만 원이 이체된 사례를 보도했다. 일부 언론과 유튜브 채널에선 해킹사고 이후 발생한 사건이라며 연관성이 있는 것처럼 다뤘는데 해킹과는 관련 없는 스미싱 사고로 보인다. SK텔레콤은 “실제 해킹 피해는 확인되지 않았다”는 입장이다.

▲지난 28일 서울 시내에 위치한 한 SK텔레콤 대리점 모습. 사진=윤수현 기자.

- 그러면 안심하면 되나?
문제는 다른 범죄와 복합적으로 발생하는 경우다. 유심을 탈취한 쪽에서 낚시 링크를 보내 스마트폰 재부팅을 유도해 휴대폰이 꺼지는 순간 유심을 탈취당할 수 있다. 유심을 탈취해 복제하면 휴대폰 인증을 가로챌 수 있다는 점도 유의할 필요가 있다. 이미 '공공재'라 불릴 정도로 개인정보 유출이 빈번한 상황에서 다른 유출된 정보와 유심 정보가 결합하면 계좌정보 등 탈취가 불가능한 건 아니다. 다만 동일인의 정보를 굳이 찾아 결합해 범죄에 이용할 가능성은 낮다.

- 유심보호서비스는 반드시 가입해야 하나?
피해를 예방하려면 가입할 필요가 있다. 유심보호서비스에 가입하면 다른 이용자가 유심 정보를 갖고 있어도 활성화할 수 없다. 과기정통부도 “국민 불안과 피해를 최소화하기 위해 유심 교체와 더불어 유심보호서비스 가입을 적극 권장하고 있다”고 강조했다. 해외 로밍 이용자는 유심보호서비스에 가입하지 못하는 문제가 있는데 SK텔레콤은 5월 중으로 개선하겠다는 입장이다.

- 유심은 반드시 바꿔야 하나?
유심을 바꾸면 기존에 유출된 정보로 인한 탈취 시도 자체를 차단할 수 있기 때문에 가장 확실하게 피해를 예방하는 방법이다. 유심보호서비스 가입만 해도 되지만 불안하다면 유심을 바꾸는 것도 대책이 될 수 있다.

- SK텔레콤은 제대로 대응했나?
SK텔레콤의 보안이 소홀했는지 여부는 현재까지 공개된 정보로는 파악하기 어렵지만 SK텔레콤의 대응에는 여러 문제가 있다. 특히 사고 사실을 즉각 제대로 알리지 않았다. 현행법상 사고 이후 24시간 이내에 한국인터넷진흥원(KISA)에 신고하게 돼 있지만 이 시간을 지키지 않았다. 이 시간마저도 '조작'했다는 의혹이 있다. 최민희 국회 과학기술정보방송통신위원장은 “해킹 사실을 정확히 인지하고도 이를 KISA에 이틀이나 늦게 신고한 데다 신고 내용조차 부실하게 작성해 초동 대응에 심각한 혼선을 초래했다”고 밝혔다.

이용자에게 고지한 시점도 늦었고 방법도 소극적이었다. 유심 보유량이 100만 개뿐인데 지난 25일 돌연 유심 무료교체를 선언해 많은 이용자들이 일선 대리점에 헛걸음했다. SK텔레콤 이용자와 SK텔레콤 망을 사용하는 알뜰폰 이용자는 2500만 명에 달한다. 정보취약계층 대책을 구체화하지 않은 점도 개선이 필요하다.

▲ 유영상 SKT 대표가 지난 25일 서울 을지로 SK텔레콤 사옥에서 설명회를 열고 사과 및 대책을 발표했다. 사진=SKT 제공.

- 이용자에게 제대로 고지했나?
많은 이용자들이 언론 보도로 사고를 접하면서 혼란이 커졌다. SK텔레콤에 따르면 사고가 처음 발생한 건 지난 19일인데 공지는 지난 22일에서야 이뤄졌다. 이마저도 문자메시지가 아닌 SK텔레콤 공식 홈페이지 보도자료란과 출입기자들에게 메일로 알리는 방식이었다. 문자메시지는 순차적으로 보내고 있다는 입장인데, 사고 후 9일이 지난 4월28일이 돼서야 받은 이용자도 있다. 정작 문자메시지를 보더라도 사안을 명확히 이해하기 어려워하는 이들이 적지 않을 정도로 구체적이지 않다. 

-유심해킹 정보나 새롭게 교체한 유심이 부정선거에 활용된다?
조기대선을 앞두고 부정선거와 연계한 허위정보가 극우진영을 중심으로 확산되고 있다. 유심 정보를 해킹하거나 유심을 교체한다고 해서 이 정보를 부정선거에 활용할 수는 없다. 부정선거 음모론을 제기한 이들이 중앙선거관리위원회를 상대로 소송을 제기해 승소한 경우는 단 1건도 없다. 해킹된 유심을 통해 신분증을 조작해 투표에 참여할 수 있다는 의혹도 제기되는데 유심복제를 해도 온라인 신분증을 만들 수는 없다.

Copyright © 미디어오늘. 무단전재 및 재배포 금지.