[비즈한국] 국내 1위 통신사인 SK텔레콤에서 해킹으로 인한 대규모 유심 정보 유출 사고가 발생해 논란이 크다. SKT는 유심 무상 교체, 유심 보호 서비스로 피해를 막겠다며 진화에 나섰지만 가입자의 불안은 좀처럼 가라앉지 않는다. 과거 유심 복제 범죄가 가상자산 탈취 등 금전적인 피해로 이어진 사례가 있어서다. 추가 피해가 언제 어디서 발생할지 몰라 가입자의 불안감이 커지는 가운데, 2022~2024년 발생한 유심 복제 범죄 관련 판결을 통해 해킹이 어떻게 자산 탈취로 이어지는지 살펴봤다.
4월 19일 발생한 SKT의 유심 정보 해킹 사건의 파문이 커지고 있다. SKT는 지난 25일 공지를 통해 “이름, 주소, 주민등록번호와 같은 개인 신상 정보는 포함되지 않았다”라고 밝혔다. 피해 규모에 대해서는 “관계 기관과 함께 사고 원인과 규모 등에 대해 조사 중”이라고 안내했다.
SKT는 국내 1위 이동통신 사업자다. 2024년 말 기준 시장 점유율이 45.3%에 달한다(과학기술정보통신부). SKT는 자사 전체 가입자를 약 2300만 명으로 명시했다. SKT가 피해 규모를 밝히진 않았으나 점유율을 감안하면 적지 않은 수일 것으로 짐작된다. 최민희 더불어민주당 의원은 유출된 정보가 9.7기가바이트(GB) 분량이라고 발표한 바 있다.
유출 사고가 알려진 지 일주일이 지났지만 가입자의 불안감은 여전하다. 유심 복제 범죄에 노출될 수 있다는 우려가 커지면서다. ‘유심 불법 복제 공격’이란 개인의 유심 정보를 불법적인 경로로 수집해 유심을 복제 후 금융 자산 등을 탈취하는 신종 범죄 수법으로, 국내에서는 최근 3년 사이 문제로 떠올랐다. 피싱과 같은 금융사기와 비교하면 수법이 많이 알려지지 않은 범죄기도 하다.
이에 유심 불법 복제 범죄와 관련한 최근 3년(2022년~2024년)간 형사 소송 판결 3건을 통해 유심 정보 유출이 어떻게 금전 탈취까지 이어지는지 살폈다. 피해자의 자산을 탈취하기까지 범행은 조직적으로 이뤄졌다. 더불어 범죄자 일당은 피해자의 유심 정보뿐만 아니라 이름, 주민등록번호 등 개인 정보도 확보했다.
수법은 크게 세 단계로 구성된다. 먼저 일당은 특정 통신사 가입자의 유심 정보와 개인 정보를 불법적인 경로로 수집했다. 확보한 유심 정보로 유심을 복제한 후, 공기계에 장착해 각종 사이트의 본인인증 메시지를 가로챘다. 가로챈 인증 정보로 피해자의 계정이 있는 포털 사이트, 가상자산 거래소 등에 접속한 뒤 소액 결제를 하거나 가상자산을 빼내 다른 지갑으로 옮겼다.
최근 사건은 2023년 6월 발생한 것으로, 가상자산 약 3억 6500만 원이 탈취됐다. 피해자의 유심 정보를 모으는 것부터 자산을 빼내기까지 단계별로 중간책이 동원됐다. 해킹 등으로 유심 정보를 수집하는 ‘유심 정보 탈취책’, 유심 복제 후 다른 단말기에 넣어 단말기 정보를 변경하는 ‘유심 기변책’, 복제 유심을 장착한 단말기로 인증 메시지를 가로채는 ‘통신정보 탈취책’, 전달받은 인증 정보로 피해자 명의의 가상자산 거래소 계정에 접속해 가상자산을 다른 지갑으로 옮기는 ‘가상자산 탈취책’이 순차적으로 움직였다. 일당은 중국을 중심으로 광주광역시, 인천광역시 등에서 활동했다.
이 사건에서는 국내 중간책이 노트북에 유심 복제기와 공유기를 연결하면 중국에 있는 일당이 원격 프로그램으로 유심을 복제했다. 가상자산 탈취는 새벽 3시부터 5시 사이에 이뤄졌다. 피해자가 해킹 사실을 인지하기 어렵고, 알더라도 즉각 대응하기 어려운 시간대다.
2022년 2월에는 유심 복제 범죄 일당이 알뜰폰 사이트에서 인증 절차의 취약점을 악용해 비대면으로 유심을 발급한 사건도 있었다. 이들은 허위 범용공인인증서를 활용해 인증 절차를 뚫었다. 역시 범죄 일당이 피해자의 이름과 주민등록번호를 확보하고 있어 가능했다.
SKT도 유심 불법 복제 공격의 타깃이 된 적이 있다. 2022년 5~6월 발생한 사건으로, 판결문에 따르면 범죄 일당은 15명 이상의 SKT 가입자 유심을 복제했다.
SKT는 이번 사고 발생 후 불법적인 유심 복제나 단말 도용은 일어나기 어렵다고 안내했다. 불법 유심 사용을 감지하는 ‘비정상 인증 차단 시스템(FDS)’이 작동하고, 유심 보호 서비스에 가입하면 유심 교체와 동일한 피해 예방이 가능하다는 설명이다. 유심 보호 서비스란 타 기기에서 복제 유심으로 통신서비스에 접속하는 것을 차단하는 서비스다. SKT는 이 서비스를 2023년 서울경찰청 사이버수사대와 협력해 개발했다고 밝혔다.
앞선 판례를 보면 범죄 일당은 여러 방법으로 피해자의 개인 정보까지 확보해 금융 자산을 탈취했다. SKT가 개인 신상 정보는 유출되지 않았다고 밝힌 만큼, 현재로선 2차 피해 여부는 미지수다. SKT는 27일 “유심 보호 서비스 가입자에 대한 유심 불법 복제 피해 사례가 발생할 시 SKT가 책임지고 보상하겠다”라며 100% 보상 대상을 서비스 가입자로 한정해 빈축을 샀다. SKT 측은 “유심 보호 서비스의 안정성을 강조하고 가입을 권유하는 차원”이라고 전했다.
전문가도 SKT의 보안 시스템이 잘 작동한다면 금융 피해로 이어질 가능성은 적다고 봤다. 염흥열 순천향대 정보보호학과 명예교수는 “기술적으로는 금융 자산 탈취 위험이 크지 않다. 유심 정보는 고객 고유 식별정보(IMSI), 유심 인증키, 단말기 고유 식별정보(IMEI) 크게 세 가지”라며 “이 중 IMEI는 유출되지 않은 것으로 알고 있다. 그렇다면 FDS 기능을 통해 복제폰의 연결을 막을 수 있다”라고 분석했다.
과기부 민관합동조사단의 1차 조사 결과에 따르면 IMEI 외에 IMSI, 전화번호 등 유심 복제에 활용될 수 있는 4종과 유심 정보 처리에 필요한 SKT 관리용 정보 21종이 유출됐다.
다만 염 교수는 경각심을 가져야 한다고 짚었다. 그는 “추가 피해 위험이 낮다는 건 SKT의 이용자 보호 시스템, FDS가 잘 작동한다는 전제 하의 가정”이라며 “가입자는 혹시 모를 사고에 대비해 유심을 교체하거나 유심 보호 서비스에 가입하는 것이 낫다”라고 조언했다.
심지영 기자
jyshim@bizhankook.com[핫클릭]
·
최대주주 지분 매각 후 미스터리 회사 등장…동성제약에 무슨 일이?
·
코로나 특수 뜨거웠던 밀키트 시장, 4년 만에 이럴 수가…
·
해킹 당한 SKT '유심 무상 교체' 발표했지만 "이미 물량 부족"
·
'제2의 김정주 사태' 막을 방법은? 사망자 코인 조회 언제쯤 될까
·
전 대기업 총수 가상자산 해킹범, 항소심서 징역 6년 원심 유지
![[단독] 이해진 네이버 창업자, '절친' 윤재승 대웅제약 오너 땅에 상가 신축](/images/common/list01_guide.png)