LG유플러스의 '무료 유심교체'..해킹 피해 줄일 수 있을까?

정연호 hoho@itdonga.com

[IT동아 정연호 기자] 개인정보유출에 대한 LG유플러스의 대책이 안이하다는 지적이 나온다. 유출된 개인정보 중 단말기고유식별번호(IMEI)는 단말기 고유 번호라서 이들이 제시한 대응 방안 중 하나인 ‘유심교체’만으로는 심 스와핑에 대처하지 못한다는 것이다.

LG유플러스는 올해 1월 10일 18만 명에 달하는 고객의 성명, 생년월일, 전화번호 등 개인정보가 유출됐다고 밝혔다. 이후 늘어난 피해자까지 포함한 29만 명 중에는 기존고객과 해지고객이 모두 포함된다. 납부 관련 금융정보는 포함되지 않았다는 게 회사 측 설명이다.

LG유플러스가 올린 사과문, 출처=LG유플러스
LG유플러스가 올린 사과문, 출처=LG유플러스

LG유플러스는 이번 사태에 대한 사과문을 발표하면서 △정보보호 관련 조직의 인력과 투자 확대 △외부 보안 전문가를 통한 취약점 사전 점검 △선진화된 보안기술을 적용 △사이버 보안 전문인력 육성 △ 사이버 보안 혁신활동 보고서 발간 등 사이버 안전혁신안을 제시했다. 개인정보가 유출된 고객은 오늘 20일부터 LG유플러스 매장에서 무료로 유심을 교체할 수 있다.

LG유플러스의 ‘무료 유심교체’ 두고 인터넷 커뮤니티에선 심 스와핑(SIM Swapping) 해킹의 가능성이 거론되고 있다. 심 스와핑은 휴대전화의 유심 정보를 복제해 이를 장착하는 수법을 말한다. 이번에 유출된 정보엔 IMEI라는 휴대폰 단말기 고유 번호가 있다. IMSI(유심고유식별번호), IMEI 등의 정보를 통해서 유심을 복제할 수 있다는 지적이다. 일각에선 “유심칩을 교체한다고 해서 단말기 고유 번호까지 교체되는 게 아니기 때문에 단말기까지 변경해야 한다”는 주장이 나온다.

심 스와핑은 다른 개인정보와 결합해 금융 자산을 탈취하는 방식으로 진행된다. 유심을 복제해 새로운 단말기에 끼우면 해당 번호로 가는 문자와 메시지를 받을 수 있다. 은행이나 거래소 등에서 본인인증을 위한 메시지를 받아서 인증을 해제하고 자산에 손을 대는 것이다. 금융 앱의 비밀번호를 몰라도 휴대전화 인증을 통해 비밀번호 재설정할 수 있다. 심 스와핑에 당하게 되면 전화나 문자가 송수신되지 않거나, 네트워크 접속 불가 등의 메시지가 뜬다.

LG유플러스는 유출된 개인정보만으로는 유심칩을 복사할 수 없다는 입장이다. LG유플러스 관계자는 IMEI 정보가 공개됐다는 주장에 대해 “IMEI 정보를 활용하려면 이를 위한 별도의 네트워크 인증키가 필요하다”고 답했다. 이어, 그는 “네트워크 키가 유출됐더라도 해당 키는 일회성이기 때문에 계속 사용할 수 없다”고 주장했다. 유심칩을 무료로 교체해주는 이유는 “변경하지 않아도 별다른 문제가 없지만, 개인정보 유출로 불안을 느끼는 사람을 위한 것”이라고 한다.

‘다른 개인정보와 결합하면 이를 기반으로 고객센터에 전화해 기존 유심을 폐기하고 새로운 유심을 발급받을 수 있지 않나’라는 물음에는 “그건 쉽지 않다”는 답을 냈다. 그는 “유심을 개통하면 기존 휴대전화 주인은 통신이 끊기는 걸 알기 때문에 바로 이상 신고를 할 것”이라고 했다.

다만, 해커들은 스마트폰에 악성 앱을 깔게 하면서 개인정보를 탈취할 수 있기 때문에 가능성을 완전히 배제할 수는 없다. 게다가 이들은 이용자가 잠을 자는 새벽에 심 스와핑을 진행하는 것으로 알려졌다. 실제로 해외에선 해커들이 표적의 SNS 등에서 이메일, 생일 등의 개인정보를 수집했다.

국내에서도 통신사 KT 이용자의 심 스와핑 피해 의심사례들이 있다. 이들은 수십만 원에서 수억 원까지 피해를 본 것으로 알려졌다. 복제된 유심칩이 개통되면 기존 휴대전화 통신이 끊기기 때문에 사람들이 잠을 자는 새벽 시간대에 범행이 발생한다. 아침에 일어났을 때 피해자들은 가상자산 거래소에서 코인 등의 금융자산이 도난당했다는 걸 알게 된다.

해외에선 암호화폐 투자자가 통신사 상대로 심 스와핑 관련해 2억 2400만 달러 규모 소송을 냈다. AT&T 대리점 직원이 심 스와핑을 도왔다는 정황이 밝혀졌기 때문이다. 트위터 전 CEO 잭 도시의 트위터 계정도 심 스와핑 방식으로 해킹당해 ‘히틀러는 죄가 없다’는 글이 올라왔다.

이번 개인정보 유출 사건에서 맥(MAC) 주소까지 노출된 것도 불안을 키운다. PC나 스마트폰처럼 인터넷 사용이 가능한 단말 기기에 부여되는 고유 번호를 맥 주소라고 한다. 보안 전문가들은 기기의 로그 기록과 결합하면 기기 사용 패턴, 관심사 등에 대한 정보를 추론할 수 있다고 경고한다.

문제는 LG유플러스가 사고를 밝히고 대응하는 과정에서 신뢰를 잃고 있다는 점이다. 이들이 피해에 대한 모니터링을 강화하겠다고 밝혀도 고객들의 불안이 사라지지 않는 이유다.

LG유플러스는 18만 명의 고객 정보가 일부 유출된 걸 확인했어도 일주일이 지나서야 이를 고객에게 공지했다. 유출 사실도 한국인터넷진흥원(KISA)의 안내를 통해서 알게됐다. 개인정보 유출 초기 해커와 거래를 한 사실은 알리지 않았다. 게다가 LG유플러스는 지난해 12월 정상적이지 않은 외부 침입이 있었고, 이들이 고객의 요금제 정보를 바꾼 것으로 알려졌다. 하지만, 그 이후로 보안을 보완하거나 고객정보처리를 강화하지 않았다는 지적이 나온다.

정보보호 투자액 전체 상위 10대 기업, 출처=과학기술정보통신부
정보보호 투자액 전체 상위 10대 기업, 출처=과학기술정보통신부

정보보호 전담인력 상위 10대 기업, 출처=과학기술정보통신부
정보보호 전담인력 상위 10대 기업, 출처=과학기술정보통신부

LG유플러스는 통신3사 중에서도 정보보안 투자에서 가장 뒤처졌다는 평가를 받아왔다. KT와 SK텔레콤이 정보보호 투자액에 각각 1021억 원, 627억 원을 투자하는데 비해 LG유플러스는 292억 원에 불과하다. 정보보호 전담 인력도 SK텔레콤이 196.1명, KT가 335.8명, LG유플러스는 91.2명이었다. LG유플러스는 연간 정보보호투자액을 현재 3배인 1000억 원으로 확대하겠다고 밝혔다.

글 / IT동아 정연호 (hoho@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.