탈취한 유심 복제한 '유령 휴대폰'으로 자산 뺏는 '심 스와핑'
SKT "가능성 매우 낮다"지만 불안한 이용자들 자구책 모색
SKT "가능성 매우 낮다"지만 불안한 이용자들 자구책 모색
(서울=연합뉴스) 조성미 기자 = 국내 최대 가입자를 보유한 SK텔레콤에서 해커가 내부 시스템에 침투하며 고객 유심(USIM) 정보 일부가 탈취된 사건이 일어나자 이용자 불안이 커지고 있다.
특히 3년 전 국내 코인 투자업계를 들썩이게 했던 '심 스와핑' 사건에서 해킹된 유심 정보가 복제돼 자산 탈취에 쓰인 정황이 유력했다는 점에서 SK텔레콤을 이용하는 가상자산 투자자들은 서둘러 자구책 마련에 나서는 상황이다.
과기정통부, SKT 본사 현장조사
(서울=연합뉴스) 서명곤 기자 = SK텔레콤이 이용자 개인정보에 대한 해킹 공격을 받아 관계 당국이 비상대책반을 구성했다. 22일 SK텔레콤은 지난 19일 오후 11시 40분께 해커에 의한 악성 코드로 이용자 유심(USIM)과 관련한 일부 정보가 유출된 정황을 확인했다고 밝혔다. 이날 서울 중구 SK텔레콤 본사 모습. 2025.4.22 [email protected]
(서울=연합뉴스) 서명곤 기자 = SK텔레콤이 이용자 개인정보에 대한 해킹 공격을 받아 관계 당국이 비상대책반을 구성했다. 22일 SK텔레콤은 지난 19일 오후 11시 40분께 해커에 의한 악성 코드로 이용자 유심(USIM)과 관련한 일부 정보가 유출된 정황을 확인했다고 밝혔다. 이날 서울 중구 SK텔레콤 본사 모습. 2025.4.22 [email protected]
3년 전 피해 의심 40건 모두 한 통신사서 발생…사건 파악 '흐지부지'
23일 통신업계에 따르면 SK텔레콤이 사내 시스템에 악성 코드를 심는 해킹 공격을 당해 유출된 것으로 의심되는 유심 관련 정보는 이동가입자식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등이다.SK텔레콤은 주민등록번호, 주소, 이메일 등의 민감한 개인정보나 금융 정보는 유출되지 않았다고 밝혔지만, 유심이 가입자의 식별·인증 정보를 저장하는 '디지털 신원' 역할을 해왔다는 점에서 사안이 가벼운 것은 결코 아니다.
실제로 유심 정보를 도용해 복제한 뒤에 금전적·사회적 피해를 준 '심 스와핑' 사례들이 국내외에서 심심찮게 물의를 일으켰다.
트위터(현 X)를 만든 잭 도시 전 최고경영자(CEO)가 2019년 심 스와핑에 당해 그의 트위터 계정이 인종차별적인 글로 도배된 적이 있었고, 2021년 미국 통신사 T모바일 고객 수백명이 심 스와핑 피해를 봤다.
국내에서 심 스와핑이 문제가 됐던 것은 2022년 초로 서울경찰청 사이버범죄수사대가 약 40건의 심 스와핑 피해 의심 사례에 대해 수사를 진행했다.
당시 피해자들은 휴대전화가 갑자기 먹통이 되고 '단말기가 변경됐다'는 알림을 받은 뒤 적게는 수백만 원에서, 많게는 2억7천만원 상당의 가상자산을 도난당했다고 진술했다.
이들의 휴대전화에서 통신 이상이 생겼던 것은 범행 주체가 탈취한 유심 정보로 복제 유심을 만들어 다른 단말기에 넣은 뒤 피해자의 회선인 양 사용하면서 본래의 휴대전화 통신이 끊겼기 때문이었다.
당시 피해자들이 이용한 통신사가 KT로 동일했다는 점에서 피해자 휴대전화가 분실되는 등의 물리적인 유심 탈취로 피해가 벌어졌을 가능성보다는 통신사 서버 해킹 등의 사이버 공격으로 유심 정보가 유출됐기 때문 아니냐는 추정에 힘이 실렸다.
해당 통신사가 해킹 공격을 받았는지 여부는 이후 명확히 드러난 바가 없다. 다만, 피해자 일부가 개인정보보호위원회 산하 개인정보분쟁조정위원회를 통해 유심 변경 당시 기지국 정보 제공 등 관련 증거를 요구하며 진상 규명을 시도했던 것으로 전해진다.
이번에 유심 정보 유출이 빚어진 SK텔레콤 측도 털린 정보를 사용한 불법 유심 제조 가능성을 의식하고 있다.
SK텔레콤은 "최악의 경우 불법 유심 제조 등에 악용될 소지가 있지만 당사는 불법 유심 기기 변경 및 비정상 인증 시도 차단(FDS)을 강화하고 피해 의심 징후 발견 시 즉각적인 이용 정지 및 안내 조치를 하고 있어 관련 문제가 발생할 가능성은 매우 낮다"고 밝혔다.
하지만 이러한 해명으로도 이용자 불안이 완전히 해소됐다고는 볼 수 없는 상황이다. 유심 정보 유출 규모도 아직 특정되지 않은 이번 해킹으로 인해 SK텔레콤은 가입자 및 시스템 전부에 대한 조사를 진행 중이다.
![SK텔레콤의 유심 보호 서비스 안내 화면
[T모바일 홈페이지 캡처. 재판매 및 DB 금지]](https://imgnews.pstatic.net/image/001/2025/04/23/AKR20250423014900017_01_i_P4_20250423073018316.jpg?type=w860)
SK텔레콤의 유심 보호 서비스 안내 화면
[T모바일 홈페이지 캡처. 재판매 및 DB 금지]
[T모바일 홈페이지 캡처. 재판매 및 DB 금지]
"알아서 자산 지키자" 이용자 분주…SKT, 사건 구체정보 함구
가상자산에 투자한 SK텔레콤 이용자들은 혹시 모를 자산 탈취에 대비해 회사 측이 제시한 사고 예방 수단 외에도 적극적인 방안을 찾는 모습이다.해커들이 주로 해외망을 사용한다는 점에서 해외에서의 통신 이용을 차단하는 부가서비스 등록이나 휴대전화 운영체계에서 유심 비밀번호를 설정하는 방법이 공유되고 있다. 유심 변경이 가장 궁극적인 안전 조치라는 조언도 투자자 커뮤니티 등에서 나오고 있다.
한 이용자는 "SK텔레콤이 안내한 유심 보호 서비스에 가입하려고 보니 '고객님의 유심을 다른 휴대전화에 넣으면 통화가 되지 않아 유심 무단 사용을 차단할 수 있다'라고 안내되는데 유심 자체가 아닌 정보가 유출된 것이므로 다른 보호 조치는 필요하지 않은 것인지 궁금하다"고 말했다.
심 스와핑 사건을 겪은 미국 통신사 T모바일은 유심 변경 시 본인 확인 절차에 2명 이상의 담당 직원 확인이 필요하다는 강화된 지침을 마련한 적도 있다.
한편, SK텔레콤은 통신 당국과 정확한 사고 원인 및 현황을 조사 중이라며 유심 유출 사건과 관련한 정보 공개를 최소화하고 있다.
지난 19일 해킹 공격이 있었던 것으로 추정되는 장비는 4G 및 5G 가입자가 음성 통화를 이용할 때 단말 인증을 수행하는 서버인데, 이 서버에 유심 정보만 저장됐었는지 다른 정보가 함께 있었는지, 해당 서버가 외부 인터넷에 연결된 시스템인지 등 여부에 대해 비공개 방침이다.
유출된 유심 정보의 암호화 여부와 해커가 서버에 심은 악성 코드의 유형, 해킹된 서버에 접근 권한이 있었던 내부 직원들의 보안 레벨, 내부 시스템에 사용된 운영체계 종류가 윈도인지 개방형 리눅스인지 등 여부 역시 조사 중인 사안이라는 이유로 함구 대상이다.
보안업계 한 관계자는 "암호 코드 유형은 국가 배후 해킹 조직이 사용하는 지능형 지속 위협(APT)과 유사점이 분석될 경우 배후를 특정해볼 수 있는 단서가 된다"며 "사고가 난 서버 접근 권한을 가진 내부자에게 악성 파일이 전염돼 추가 전파될 가능성 등도 관건"이라고 말했다.
[email protected]