SKT '유심 해킹돼도 금융 탈취 불가...FDS·보호서비스로 차단'

[이코노믹데일리] SK텔레콤이 최근 발생한 해킹 사고로 일부 가입자의 유심(USIM) 정보가 유출됐으나 이를 악용한 금융 자산 탈취는 불가능하다고 강조하며 고객 불안 진화에 나섰다.

SKT는 여러 단계의 보안 시스템을 통해 불법 복제 유심 사용 시도를 차단하고 있으며 만일의 피해 발생 시 책임지겠다는 입장을 분명히 밝혔다. 먼저 SKT는 유출된 정보만으로는 금융 범죄가 어렵다는 점을 분명히 했다. 

30일 국회 과학기술정보방송통신위원회 전체회의에 출석한 류정환 SKT 인프라전략기술CT담당은 유출된 정보는 가입자 식별번호(IMSI) 등이며 금융 거래에 필수적인 주민등록번호는 마케팅 서버에 별도 보관되어 있어 유출되지 않았다고 확인했다. 

류 담당은 "주민등록번호는 우리 마케팅 서버에 있고 (유출된 가입자 유심 정보는) 네트워크 서버에 있기 때문에 완전히 분리돼 있어 나가지 않았다"고 설명했다. 유심 자체에는 계좌번호나 은행 OTP와 같은 민감한 금융 정보가 저장되지 않으므로 해커가 유심 정보를 확보했더라도 직접적인 금융 자산 탈취는 원천적으로 어렵다는 것이다. 또한 단말기 고유식별번호(IMEI) 역시 유출되지 않아 소위 '복제폰' 제작을 통한 범죄 가능성도 낮다고 덧붙였다.

이어서 SKT는 불법 복제 유심을 이용한 통신망 접속 시도를 차단하는 강력한 보안 시스템을 운영 중이라고 설명했다. 핵심은 '비정상인증차단시스템(FDS)'이다. FDS는 실시간으로 유심 인증 시도를 감시하며 가입자의 실제 위치와 다른 곳에서 접속 시도가 감지되는 등 비정상적인 패턴이 나타나면 즉시 인증을 차단한다. 예를 들어 서울에 있는 고객의 유심 정보로 부산에서 접속 시도가 발생하면 FDS가 이를 비정상 행위로 판단하는 방식이다. SKT는 이번 사고 직후 FDS 정책을 최고 보안 수준으로 격상시켜 탐지 및 차단 능력을 강화했다.

나아가 설령 복제된 유심으로 통신망 접근에 성공하더라도 추가적인 보안 장치가 작동한다고 밝혔다. 바로 '유심보호서비스'다. 이 서비스는 가입자의 유심과 실제 사용하는 휴대폰 단말기를 하나로 묶어 관리하는 개념이다. 만약 해커가 유심을 복제해 다른 휴대폰에 삽입하더라도 미리 등록된 단말기가 아니면 통신망 접속 자체가 불가능해진다. 

유영상 SKT 대표은 이 서비스에 대해 "단말과 유심을 용접하는 효과"라며 "유심을 복제하더라도 (단말기와) 용접이 됐기 때문에 (복제폰 사용이) 안된다"고 설명하며 가입을 권고했다. 이는 휴대폰 전원이 꺼진 상태에서 복제 유심으로 주도권을 탈취하려는 시도까지 막을 수 있는 효과적인 방어 수단이다.

한편 SKT는 유심 교체를 원하는 고객들을 위해 기존 물리적 유심 교체 방식 외에 소프트웨어 업데이트를 통해 동일한 보안 효과를 내는 '유심포맷(가칭)' 방식을 5월 중순까지 도입할 계획이다. 이는 유심 교체 수요 대비 보유 물량 부족 문제를 해소하고 고객 불편을 줄이기 위한 조치다. 다만 유심포맷 역시 고객이 매장을 방문해야 하는 점은 동일하다. 

SKT 관계자는 "이번 사고로 유심 정보가 유출돼 고객에게 불법 유심 기기변경으로 인한 피해가 발생할 경우 SKT가 책임질 것"이라고 강조하며 고객 보호 의지를 재확인했다.