유심 정보 유출, 금융거래 안전할까? 전문가의 답변

★

 

SKT가 지난 22일 무단접근으로 고객 유심(USIM) 정보가 유출됐다고 발표한 이후 며칠이 지났지만 혼란이 계속되고 있다. 사건의 진상은 정확히 드러나지 않은 데다 일부 고객은 유심자체가 생소해, 이번 사건으로 자신이 범죄 피해자가 될 수 있다는 우려가 걷잡을 수 없이 퍼지고 있다.

 

유심보호 서비스에 등록하면 안심할 수 있다.는 말만 앵무새처럼 반복하고 구체적 정보와 대응법을 안내하지 않은 SKT에 일차적 책임이 있다. 

 

SKT는 30일 뒤늦게 유심을 둘러싼 오해에 대해 설명드린다. 는 제목의 안내문을 뉴스룸에 게재했다. 이 내용과 전문가 설명을 토대로 이용자들의 우려에 대해 질의응답 형식으로 풀어보았습니다.

 

 

 

Q&A

 

Q: 유심이 뭐기에 다들 걱정인가?

 

A:

유심(USIM : Universal Subscriber Identity Module)은 지금 통신망에 접속한 등록자가 누구인지 식별/인증해서 모바일폰을 이용할 수 있도록 합니다.

 

유심에는 모바일폰번호, 국제 이동통신 등록자 식별보호(IMSI), 등록자 인증키(Ki) 등 유심을 개통하거나 인증할 때 필요한 정보가 있다. 등록자가 직접 저장한 정보도 들어 있다. 

 

후자일 때 모바일 티머니나 인증서 등으로, 통신망에 연동되지 않는다. 유심에는 이름, 주민등록번호, 주소 등은 저장돼 있지 않다. 유영상 SKT 대표는 유심에 저장된 공인인증서, 교통카드, 폰번호부 등은 통신망과 연동되는 통신/인증 정보가 아니라서, 불법 유심 복제가 발생한다고 해도 다른 기기로 복제되지 않는다고 설명했다.

 

 

Q: SIM swapping 가능성이 없다'라고 하는데.

 

A:

민관 합동으로 1차 조사 결과 단말기 고유식별번호(IMEI) 유출은 없음을 확인했다. 유심보호서비스에 등록하면 'SIM swapping'은 막을 수 있다고 합니다. 

 

다만, 이번에 빼돌려진 폰번호, 등록자식별키 등 정보 4종만으로 유심복제가 가능하니 주의해야 합니다. 무엇보다 해커가 통신사 시스템을 뚫고 홍등록자서버(HSS)까지 침입했다는 점에서 사태에 대한 심각성이 크다.

 

김범수 연세대 정보대학원 교수는 '통신망에서 백그라운드로 사용되는 정보를 빼는 건 소비자를 직접 타깃으로 하기보다 국가 인프라를 공격, 마비시키기 위한 사전단계가 아니었을까 우려된다"라고 말했다.

 

 

Q: 유심이 털리면 은행계좌에서 나도 모르게 돈이 빠져나가나?

 

A:

현재 밝혀진 정보를 토대로 보면 아니다. 불법 유심복제를 해도 이 정보만으로 SKT 망에 접속할 수는 없다. 비정상인증 차단 시스템(FDS)이 작동 중이다. 

 

FDS는 등록자가 등록했던 기기가 아닌 모바일폰에서 연결을 시도하거나, 고객이 서울에 있는데 부산에서 갑자기 위치 등록 신호가 켜지는 비정상적 상황이 감지되면 차단한다.

 

단말기고유식별번호는 유출되지 않았기에, 해커가 등록자 식별번호를 갖고 있어도 특정인을 목표로 복제폰을 만들기는 힘들다.

SKT는 혹시라도 불법 복제 유심으로 SIM swapping에 성공했어도, 금융거래에 필요한 신상 정보나 비밀번호등이 없는 한 후가 범죄로 이어지긴 어렵다. 고 전했다.

 

다만, 극도로 최악일 때라면, 해커가 이미 특정인의 상세한 신상정보를 갖고 있다면 범죄에 악용할 수는 있다.

 

 

Q: 피싱/스미싱도 주의해야만 한다는데.

 

A:

이번 사태를 악용해 해커가 '명의 도용 등을 막기 위해 모바일폰을 껐다 켜달라 등의 스미싱 문자를 보냈을 때 절대로 따라 하면 안 된다. 모바일폰 주도권을 빼앗길 수 있다.

 

한구인터넷진흥원(KISA)은 모바일폰 재부팅을 요구하는 피싱 메시지가 오면 절대 따르지 말고 신고해 달라고 당부했다.

 

 

Q: 유심을 교체했더니 K패스 교통카드가 안 된다.

 

A:

티머니, 이즐 모바일카드로 K패스를 이용했다면 변경된 카드번호를 K패스 홈페이지에 재등록해야 합니다. 티머니와 이즐은 유심 정보를 식별값으로 두고 카드번호를 부여한다.

 

카카오페이, 네이버페이, IM원패스 등 다른 모바일카드와 실물 카드는 재등록이 필요 없다. 교통 카드를 삼성페이 등 모바일 페이에 등록해 썼다면 모바일 페이에 카드 재등록을 해야 만 합니다.

 

 

Q: 유심 복제폰을 이용해 모바일 주민증을 발급받을 수도 있나?

 

A:

원천적으로 불가능하다. 스마트폰에서 모바일 주민증을 발급받기 위해서는 등록한 비밀번호와 함께 집적회로(IC) 주민증을 인식시켜야 된다. 안면 인식을 통해 발급 신청자와 주민증 사진이 일치하는지 확인이 필요한 과정도 거친다.

 

 

 

여기까지...

 

 

유심 정보 유출, 금융거래 안전할까? 전문가의 답변을 주제로 Q&A 형식으로 정리해 보았습니다.

 

 

함께 보면 좋은 정보

★

 

혁신적인 금융 서비스 핀테크의 현재와 미래

혁신적인 금융 서비스 핀테크의 현재와 미래

 

 

 

끝.