SK텔레콤(SKT) 유심(USIM·가입자 식별 모듈) 정보 유출 사고 발생 2주가 지났지만, 정확한 피해규모와 해킹 경로 등은 드러나지 않고 있다. 이용자들의 불안감은 일파만파 번지고, 금융 피해 등 악용 가능성을 둘러싼 의혹도 잇따르고 있다. 2일 SKT 간담회에서 기술책임자인 류정환 네트워크인프라센터장(부사장)은 온라인과 언론 등을 통해 제기된 주요 의혹들에 대해 직접 하나하나 해명했다. 아래는 일문일답. 전문가들의 진단도 덧붙였다.
금융피해 우려에 대해선 전문가들의 의견도 비슷하다. 김용대 한국과학기술원(KAIST) 전기전자공학부 교수는 “(유출된 정보는) 금융거래와 직접 관계가 없다. 문자메시지 인증 우회 등을 통한 부가 피해를 걱정하는 것인데, 유심보호서비스에 가입하면 기기변경이 불가능해 이런 공격에 이용될 수 없다”고 말했다. 김승주 고려대 정보보호대학원 교수 역시 “계좌이체 등을 하려면 OTP나 공인인증서 등의 정보가 필요한데 이는 유심에 저장되지 않는다”고 했다.
김용대 교수는 “이번 사고로 유심 정보가 나간 거지, 기기와 관련된 정보는 유출되지 않았다. 기기는 여전히 이용자들이 소유하고 있기 때문에, 유심 정보만으로 (해커가) 특별히 할 수 있는 건 없다”고 설명했다.
류 부사장이 언급한 FDS는 서로 다른 휴대전화에서 같은 유심(복제된 유심)으로 접속을 시도하는 등의 이상 현상이 나타나면 실시간 탐지해 차단하는 시스템. 예를 들어 기존에는 서울에서 접속했는데, 조금 뒤 부산에서 같은 심으로 접속을 시도한 정황이 발생하면 이를 즉시 차단하는 것이다.
SKT는 유심보호서비스나 FDS 등의 안전장치가 유심 교체의 대안이 될 수 있다고 설명한다. 다만 김용대 교수는 “해외에 나갈때 로밍 서비스 때문에 유심보호서비스를 해지하면, FDS만으로 충분하지 않을 수 있다. 아직 유심 교체를 못했다면 유심보호서비스를 유지한채 데이터 전용 이심(eSIM)을 쓰는게 더 낫다”고 했다.
SKT 측은 앞으로 휴일·주말을 제외한 일일 브리핑을 통해 추가 보호조치와 함께 불필요한 오해를 바로잡는 설명도 병행할 방침이다. 류 부사장은 “유심 교체 안내 문자는 재고가 확보되면 순차적으로 보낼 예정이며, 아직은 보낸 적이 없다. 안내 문자 발신번호는 114다. 반드시 발신번호를 확인해 달라”고 당부했다.
유영상 SK텔레콤 대표이사(오른쪽 두번째)를 비롯한 경영진들이 2일 오전 서울 중구 SK텔레콤 T타워에서 열린 해킹 사태 관련 일일 브리핑에서 고개 숙여 사과하고 있다. 뉴스1
Q : 유심 정보 알면 계좌에 있는 돈 훔쳐갈 수 있나?
A :
그렇지 않다. 금융자산을 탈취하려면 거래에 필요한 개인정보나 비밀번호 등이 필요하다. 지난달 29일 정부 합동 조사 1차 결과 발표에 따르면 유심과 관련된 정보만 유출된 것으로 나타났다. 그 외 전화번호 또는 인증 정보는 전혀 나가지 않았다. Q : 유심을 교체하거나 보호서비스에 가입해도 은행 앱에서 추가적인 보안조치를 해야 하나?
A :
안 해도 된다. 이용자들이 스마트폰에 앱을 깔아도, 앱 관련 내용은 유심에 저장되지 않는다. 또 은행 앱에서 거래를 하려면 비밀번호, OTP(일회용 비밀번호), SMS 등 추가 인증 수단이 필요하다. 금융피해 우려에 대해선 전문가들의 의견도 비슷하다. 김용대 한국과학기술원(KAIST) 전기전자공학부 교수는 “(유출된 정보는) 금융거래와 직접 관계가 없다. 문자메시지 인증 우회 등을 통한 부가 피해를 걱정하는 것인데, 유심보호서비스에 가입하면 기기변경이 불가능해 이런 공격에 이용될 수 없다”고 말했다. 김승주 고려대 정보보호대학원 교수 역시 “계좌이체 등을 하려면 OTP나 공인인증서 등의 정보가 필요한데 이는 유심에 저장되지 않는다”고 했다.
Q : 유심을 복제하면 휴대전화에 저장된 문자나 앱을 다 복제할 수 있나?
A :
아니다. 유심 내부는 크게 두 부분으로 나눌 수 있다. 하나는 망과 연동된 모듈로 개통을 하거나 전화를 걸 때 인증 등을 하는 부분이다. 다른 하나는 물리적인 메모리다. 이번에 문제가 된 부분은 망과 연동된 부분이다. 사진이나 전화번호 등 개인정보가 담기는 물리적 메모리는 망과 전혀 연동되지 않고 이번 사고와 관계가 없다. 유심칩을 물리적으로 도난 당하는 게 아니라면, 메시지·연락처·앱 등의 정보는 복제할 수 없다. 
류정환 SK텔레콤 네트워크인프라센터장(부사장)이 2일 브리핑에서 해킹 사태 관련 의혹들에 대해 해명하고 있다. 뉴스1
Q : 복제한 폰으로 이용자 몰래 통화를 하거나 문자메시지를 보낼순 없나?
A :
비정상인증 차단 시스템(FDS)과 유심보호서비스로 차단하기 때문에 복제가 불가능하다. 만일 복제가 됐다 하더라도, 망에 전화 2대가 동시에 위치 등록을 할수 없기 때문에 일어날 수 없는 일이다. 김용대 교수는 “이번 사고로 유심 정보가 나간 거지, 기기와 관련된 정보는 유출되지 않았다. 기기는 여전히 이용자들이 소유하고 있기 때문에, 유심 정보만으로 (해커가) 특별히 할 수 있는 건 없다”고 설명했다.
Q : 유심칩, 꼭 바꿔야 하나?
A :
하지 않아도 된다고 생각한다. 현재 3중 안전장치를 갖추고 있다. FDS, 그리고 유심보호서비스, 유심 교체다. 앞의 두 가지만으로도 안전하다. 그럼에도 원하는 분은 교체하시게끔 안내하고 있다. 유심보호서비스도 유심 교체와 같은 효과를 가진다. Q : 서버가 해킹 당한 건데, 유심을 교체하는 게 소용이 있나?
A :
정부 합동 조사 결과, 이번에 침해가 있었다고 판단한 홈가입자서버(HSS)에는 유심 관련 정보만 저장돼 있다. 다른 정보는 전혀 없기 때문에 유심만 교체해도 피해가 없다. 
2일 서울 시내의 한 SK텔레콤 대리점 앞에서 한 소비자가 유심 재고 소진 안내문을 한참 바라보고 있다. 연합뉴스
류 부사장이 언급한 FDS는 서로 다른 휴대전화에서 같은 유심(복제된 유심)으로 접속을 시도하는 등의 이상 현상이 나타나면 실시간 탐지해 차단하는 시스템. 예를 들어 기존에는 서울에서 접속했는데, 조금 뒤 부산에서 같은 심으로 접속을 시도한 정황이 발생하면 이를 즉시 차단하는 것이다.
SKT는 유심보호서비스나 FDS 등의 안전장치가 유심 교체의 대안이 될 수 있다고 설명한다. 다만 김용대 교수는 “해외에 나갈때 로밍 서비스 때문에 유심보호서비스를 해지하면, FDS만으로 충분하지 않을 수 있다. 아직 유심 교체를 못했다면 유심보호서비스를 유지한채 데이터 전용 이심(eSIM)을 쓰는게 더 낫다”고 했다.
SKT 측은 앞으로 휴일·주말을 제외한 일일 브리핑을 통해 추가 보호조치와 함께 불필요한 오해를 바로잡는 설명도 병행할 방침이다. 류 부사장은 “유심 교체 안내 문자는 재고가 확보되면 순차적으로 보낼 예정이며, 아직은 보낸 적이 없다. 안내 문자 발신번호는 114다. 반드시 발신번호를 확인해 달라”고 당부했다.