[이코노미스트 권오용 기자] “충격적입니다.” 국내 1위 이동통신사 SK텔레콤이 가입자 유심 정보를 해킹당한 사건에 대한 업계 관계자의 말입니다. 이동통신 업계는 경쟁사의 일이 자신들에게도 벌어질 수 있어 문제가 있어도 두둔하는 편인데요, 이번 사건에 대해서는 ‘심각하다’며 우려했습니다. 

그도 그럴 것이 가입자가 전 국민의 절반가량인 2500만명(알뜰폰 187만명 포함)이나 되는 SK텔레콤에서, 그것도 최고의 보안 체계로 보호되고 있는 메인 서버에 보관된 주요 정보 중 하나인 가입자 유심(USIM) 정보가 탈취당했기 때문입니다. 유심은 이동통신 서비스를 이용하기 위해 가입자의 통신 인증 및 식별 정보를 저장하는 칩인데요, 여기에는 모바일 가입자를 식별하는 국제 이동 가입자 식별번호(IMSI), 유심 인증키 등이 포함돼 있습니다. 

다만 유심에는 고객의 성명, 주민등록번호, 이메일, 결제 정보 등 민감한 개인정보는 포함돼 있지 않습니다. 그런데도 SK텔레콤 가입자의 불안감이 커지면서 ‘유심 교체 대란’이 벌어지고 있습니다. 이는 유심 정보를 불법 복제해 금융 자산을 훔치는 ‘심 스와핑’ 범죄 가능성이 제기되고 있어서입니다. 심 스와핑은 유심 정보를 탈취해 피해자의 통신 단말기로 위장해 각종 금융서비스에 접속해 돈이나 가상자산을 빼가는 범죄인데요, 2022년 서울경찰청 사이버수사대는 40여 건의 관련 의심 사례를 수사하기도 했습니다.

정부와 SK텔레콤, 전문가들은 현 상황에서 심 스와핑 범죄가 발생할 가능성은 거의 없다며 과도한 공포 확산을 경계했습니다. 민관합동조사단은 1차 분석 결과 단말기 고유식별번호(IMEI) 유출은 없어 심 스와핑 우려가 없다고 했고, 김승주 고려대 정보보호대학원 교수는 “공동인증서와 일회용 비밀번호 생성기(OTP)를 많이 활용하는 우리나라에서 유심 정보만으로 금융거래를 직접 수행하거나 신분증을 위·변조하는 등 심각한 2차 피해로 직결되기는 어렵다”고 했습니다. 

그러나 SKT 가입자의 불안감을 해소하기에는 역부족입니다. 국가정보원이 정부 전 부처를 비롯해 공공·산하기관을 대상으로 SKT 유심 교체를 권고하고, 금융권에서는 기존 인증 절차에 화상 얼굴 인증을 추가하는 등 보안 조치를 강화하고 있어 불안감은 오히려 더 증폭되고 있습니다. 여기에 가장 확실한 해결책인 유심 교체가 재고 부족으로 언제 될지 알 수 없다는 점과 ‘심 스와핑 피해를 봤다’는 확인되지 않은 가짜뉴스까지 나돌고 있어 사회적 혼란까지 야기되고 있습니다. 이는 이번 사태가 얼마나 심각한가를 보여주고 있습니다.

사실 한국은 스마트폰 하나로 실생활에 필요한 금융거래를 손쉽게 할 수 있어 스마트폰과 관련한 해킹 자체가 매우 중대한 일이 아닐 수 없는데요, 이번 사건은 스마트폰의 핵심 정보 중 하나인 유심 정보가 탈취당한 만큼 그 엄중함을 말로 다할 수 없습니다. 

따라서 향후 책임 소재를 철저히 따져야 할 것입니다. 다만 지금 급한 것은 해킹에 따른 2차 피해가 발생하지 않도록 하는 겁니다. 이를 위해 피해 규모와 해킹 전모를 빠르게 밝혀 그에 따른 조처를 해나가야 불안감과 그에 따른 혼란을 잠재울 수 있습니다. SK텔레콤은 이번 사태가 해결될 때까지 1위 이통사로서의 책임을 다해야 할 것입니다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지