해킹 공격으로 가입자 유심(USIM) 정보가 유출된 에스케이(SK)텔레콤이 유심 무료 교체서비스를 시작한 지난 28일 서울의 한 에스케이텔레콤 대리점에서 시민들이 유심 교체를 위해 줄을 서고 있다. 연합뉴스
(☞한겨레 뉴스레터 H:730 구독하기. 검색창에 ‘h:730’을 쳐보세요.)
에스케이(SK)텔레콤 서버 해킹으로 가입자 전화번호 등 유심 복제에 쓰일 수 있는 정보 4종이 유출된 것으로 확인됐다. 다만 단말기고유식별번호(IMEI)는 유출되지 않았다. 이에 휴대전화 복제에 따른 피해 발생 가능성은 크게 낮아졌다는 게 당국의 판단이다. 하지만 해킹 피해 방지를 위한 유심 교체와 관련 서비스 가입이 원활하게 진행되지 않으면서 가입자들의 불안감과 불편은 여전하다. 국가정보원도 정부기관 전체에 유심 교체를 권고했다. 개인정보보호위원회는 사실상 대량의 개인정보가 유출된 것으로 보고 강한 징계 조처를 예고했다.
과학기술정보통신부 민관합동조사단(조사단)은 29일 “1차 조사 결과 단말기고유식별번호 유출은 없는 것을 확인했다”고 밝혔다. 조사단은 “지금까지 확인한 결과”라고 전제한 뒤, 가입자 전화번호와 가입자 식별키(IMSI) 등 유심 관련 정보 4종과 에스케이텔레콤의 유심 정보 처리용 정보 21종은 유출됐다고 밝혔다. 사고 발생 후 유출 정보의 종류가 확인된 건 이번이 처음이다.
과기정통부는 유심 정보는 물론 단말기고유식별번호까지 유출됐을 경우 회사가 전체 가입자를 대상으로 제공하는 ‘비정상 인증 시도 차단 시스템’(FDS)이 제대로 작동하기 어려웠을 것이라고 설명했다. 이 시스템은 복제 유심을 다른 휴대전화에 꽂아 정보를 탈취하는 ‘심 스와핑’을 막는 구실을 한다. 해커가 유심 정보를 알더라도 단말기고유식별번호를 획득하지 못해 생기는 ‘미스매칭’을 통신사가 파악해 접속을 차단한다는 것이다.
대량 개인정보 유출은 확실시된다. 당국은 상당히 높은 수준의 행정 처분을 예고했다. 최장혁 개인정보보호위원회 부위원장은 이날 브리핑을 열어 “이번 사고는 (2023년 과징금이 부과된) 엘지(LG)유플러스의 개인정보 유출 사고와는 차원이 다르다”며 “엘지유플러스 사건은 과거 해킹 사실이 뒤늦게 확인돼 유출 규모·경로 파악이 어려워 (강한) 처분이 어려웠지만 이번엔 그렇지 않다”고 말했다. 법 위반 행위 입증이 쉬운 만큼 제재도 강해진다는 뜻이다.
또 2023년 개인정보보호법 개정에 따라 과징금 기준 자체가 상향된 점도 개인정보위는 강조했다. 개정 이전 과징금 부과 기준은 ‘위반 행위 관련 매출의 3% 이하’였으나 현재는 ‘전체 매출액의 3% 이하’다. 지난해 에스케이텔레콤의 매출은 약 18조원이란 점을 염두에 두면, 과징금이 5천억원을 웃돌 수 있다. 엘지유플러스에 부과된 과징금은 68억원이었다.
이날 국정원은 전 부처와 공공·산하 기관을 대상으로 유심 교체를 권고했다. 국정원은 무선 통신망 기반 영상신호 전송, 교통신호 제어용, 원격계측·검침 등에 활용되는 4세대(LTE) 및 5세대(5G) 이동통신 공유기, 업무용 휴대전화·태블릿 등의 유심 교체와 함께 에스케이텔레콤의 유심보호서비스 가입을 권고했다.
김순석 한라대 교수(AI정보보안학과)는 “회사가 제공하는 비정상 인증 시도 차단 시스템은 이를 우회할 수 있는 해커들이 얼마든지 있는 만큼 한계가 있다”며 “유심보호서비스에 가입하지 않았다면 (해커가) 유출 정보로 부가적인 정보를 획득할 수 있을 것”이라고 말했다. 김승주 고려대 정보보호대학원 교수는 “국내에선 유심보호서비스 가입으로도 충분하지만 국외 활동이 많은 국정원 요원, 대기업 직원의 경우 (로밍이 제한되는) 유심보호서비스 적용이 어렵다. 온라인 메모에 업무 관련 내용을 기재하는 이용자들도 (복제폰을 통해) 정보가 유출될 우려가 있어 유심 교체를 권장한다”고 했다.
소비자들 불안은 여전하다. 에스케이텔레콤을 이탈하는 가입자도 빠르게 늘고 있다. 28일 하루 동안 이탈한 가입자(순감 기준)는 약 3만4132명으로 26일 이탈 규모(1665명)보다 약 20배 늘었다. 이에 에스케이텔레콤은 유심 재고 부족 등을 해결하기 위해 다음달 중순께 유심 소프트웨어를 변경하는 ‘유심 포맷(초기화)’을 적용하겠다고 밝혔다.