SKT 해킹사고, 유심 교체 당장 어렵다면?
[IT동아 김예지 기자] SKT가 지난 4월 19일 겪은 악성코드로 인한 유심(USIM) 해킹 사고 발생 후, SKT 및 SKT망 알뜰폰 가입자 2500여만 명 고객을 대상으로 유심 무상 교체를 실시했다. 이로써 SKT 고객은 4월 28일(월) 오전 10시부터 유심 및 이심(eSIM, 내장형 가입자 식별 모듈)을 무료로 교체할 수 있게 됐다.
사고 직후 SKT는 ▲비정상인증시도 차단(FDS, Fraud Detection System) ▲유심보호서비스 ▲유심 무상 교체 시행 등 3가지 보호 장치를 적용했다. 그러나 SKT가 27일 “현재 약 100만 개의 유심을 보유하고 있으며, 5월 말까지 약 500만 개, 6월 중 500만 개를 추가 확보할 예정”이라고 밝힌만큼 유심 교체 희망 고객이 늘어남에 따라 유심 물량 부족 사태를 빚을 것으로 예상된다.
유심보호서비스, 유심 교체와 동일 수준 보안 효과
그렇다면 유심 교체 방법이 당장 어려울 경우, 대처할 수 있는 방안은 무엇이 있을까. 우선 SKT는 공식적으로 유심보호서비스만으로도 사실상 유심 교체와 동일한 수준의 보안 효과를 얻을 수 있다고 주장한다. 유심보호서비스는 유심을 복제해 다른 단말로 기기를 변경하는 시도를 차단하는 보안 서비스로, 누군가 유심을 복제하더라도 해당 유심을 사용할 수 없도록 하는 기능이다.
SKT는 29일 “1차 조사 결과, 가입자 전화번호, 가입자 식별번호(IMSI) 등 유심 정보가 유출됐고, 단말기 고유식별번호(IMEI)는 유출되지 않은 것으로 확인됐다. 유심에 주민등록번호, 계좌번호, 은행 OTP 등 정보는 없어 불법 유심 복제로 가상자산 계좌가 탈취되거나 공동인증서, 연락처, 문자, 앱은 복제되지 않는다”며, “과학기술정보통신부는 유심보호서비스에 가입할 경우, 유출된 정보로 유심을 복제해 다른 휴대전화에 꽂아 불법적 행위를 하는 ‘심 스와핑’을 방지할 수 있다”고 밝혔다. 또한 SKT는 FDS(누군가 불법으로 복제된 유심으로 통신망 인증 시도할 경우 이를 실시간으로 모니터링하고 차단하는 시스템)을 최고 수준으로 격상했다고 덧붙였다.
현재 SKT는 T월드 앱 등에서 신청 고객의 유심보호서비스 가입을 예약순으로 진행하고 있다. 유심보호서비스를 활성화하면 현재 해외 로밍이 불가하나, SKT는 5월 내 로밍 중에도 유심보호서비스 이용을 가능케 할 예정이다. SKT 관계자는 “서비스를 신청한 고객은 당일 또는 1일 이내 가입 완료된다. 유심보호서비스 안내를 위한 문자 발송은 29일 기준 모든 고객에게 완료했다. 해당 서비스 가입자는 1000만 명을 넘어섰고, 어르신, 장애인 등 디지털 취약 계층과 군인 등을 대상으로는 일괄 가입을 검토할 예정이다”고 말했다. 그러면서 “늦게 가입했다고 피해가 더 크다고 볼 수는 없다. 우선 이상 유심 기변을 막아내는 FDS 도입 이후 심 스와핑 사건은 발생한 적이 없기 때문이며, 과거 타사에서 발생했던 유사 사건은 이러한 다른 보안 조치가 없었기 때문에 문제가 있었던 것”이라고 덧붙였다.
명의도용 방지 서비스, “유심보호서비스와 관련 없어”
SKT 관계자는 해킹사고 이후 소개되고 있는 개인정보 보호를 위한 추가 조치에 대해서는 조심스러웠다. 최근 인터넷 상에는 SKT 유심해킹 피해를 막기 위한 필수 가입 사항으로 ▲명의도용 방지 서비스(카카오뱅크 및 PASS 등, 내 명의로 번호 개통 차단) ▲여신거래·비대면 계좌 차단(대출·계좌 및 비대면 계좌 개설 사전 차단) ▲신용정보조회 차단(금융기간 조회 불가) ▲PASS 인증 차단(PASS 앱 인증 도용 방지) 등이 꼽히고 있다.
이들 서비스는 개인의 보안 활동 강화에 도움이 되지만, 이번 유심 해킹으로 인해 ‘유심 복제’가 우려되는 상황에 적확한 해결책으로 보기는 어렵다는 설명이다. SKT는 “PASS 명의도용 방지 서비스는 유심정보를 악용한 범죄를 차단하는 유심보호서비스와 다르다”고 말했다. 다만, 당장 직접적인 피해가 없더라도 개인 보안 활동을 강화하는 차원에서는 바람직할 수 있다.
특히 이번 해킹사고 이후 유심 무상 교체를 가장한 피싱 범죄가 늘고 있는 가운데, 가짜 사이트 접속 및 악성 앱 설치를 유도하는 사기 행위에 대한 각별한 주의가 필요하다. 로그인 2단계 인증 설정 등을 강화하고, 낯선 번호로 온 링크나 파일 등은 열지 않는다. 평소 데이터 사용량, 배터리 소모 추이를 살피고, 앱이 강제 종료 등 이상 징후가 있는지 확인한다. 피해가 의심되면 SKT 고객센터 및 KISA(118)에 연락을 취하는 게 좋다. 각 통신사에서 제공하는 무료 보안 부가서비스를 가입하는 것도 방법이다. 유심보호서비스뿐만 아니라 ▲번호도용문자 차단서비스(인터넷에서 발송되는 스팸 및 스미싱 문자에 번호가 악용되지 않도록 방지) ▲정보보호 알림이(해킹, 바이러스 등 관련 정보를 문자로 알려주는 서비스) 등이 무료 제공된다.
따라서 이번 유심해킹 사고로 인한 조치는 유심보호서비스 가입이 우선시된다. 향후 발생 가능성이 있는 보안 우려에 대한 예방 조치로써 개인 필요에 따라 추가 서비스에 가입하되, 오히려 불필요한 중복 가입으로 불편함을 얻지 않도록 주의하자. 예컨대, 여신거래 안심차단 서비스는 한번 설정하면 영업점 방문을 통해서만 해제할 수 있다. 한편, 휴대전화 설정에서 유심 잠금 기능을 활성화해 비밀번호를 설정해 두는 방법은 물리적으로 단말기를 잃어버릴 때 대비하는 용도로, 유심 해킹과는 직접적인 연관이 적다. 또한 휴대전화 초기화도 유심 해킹 피해 방지와는 무관하다.
물리적인 유심 대신 디지털 이심 가능
디지털 방식으로 제공되는 이심은 유심과 동일하게 기능하지만, 물리적인 칩의 유무만 다르다. 기존에 유심을 사용해왔더라도 보유한 스마트폰이 이심을 지원하는 모델인 경우 교체할 수 있다. 기존 유심 사용자도 정보를 그대로 이심으로 옮겨올 수 있다. 그러나 현재 이심은 근거리 무선 통신(NFC)을 지원하지 않아 교통카드 사용이 불가하다.
이심은 T다이렉트샵에서 로그인 없이도 ‘eSIM 셀프가입’ 또는 단말 설정 메뉴에서 ‘eSIM 추가’를 선택해 접수할 수 있다. 직접 매장을 방문해 도움을 받아 교체할 수도 있다. SKT 기준 이심 셀프 교체 가능 시간은 월\~토요일 오전 8시\~오후 8시로, 일요일과 공휴일은 휴무다. 아이폰 XS를 포함해 이후 출시된 애플 휴대전화, 갤럭시 Z 플립4/Z 폴드4를 포함해 이후 출시된 삼성 휴대전화는 이심 사용이 가능한 모델이다. 만약 확인이 어렵다면 제조사 홈페이지 또는 통신사 홈페이지와 문의를 통해 확인해보자.
SKT는 T다이렉트샵에서 이심 변경 방법을 자세히 안내하고 있다. 먼저 와이파이(Wi-fi) 환경에서 삼성 단말 기준으로, [설정] - [연결] - [SIM 관리자] - 현재 USIM 사용중 SIM 선택(보통 SIM1) → [eSIM으로 전환] → 연결되는 웹페이지에서 본인 인증 후 eSIM 다운로드 한다. 애플 단말 기준으로, [설정] - [셀룰러] - [eSIM으로 전환] - 연결되는 웹페이지에서 본인 인증 후 eSIM 다운로드 한다.
이심 교체 시에는 단말기 고유식별번호(IMEI)와 이심식별번호(EID)를 필요로 한다. 삼성 단말 기준으로, IMEI는 [설정] - [휴대전화 정보]의 상태 정보에서 각각 확인한다. 모델명 및 제품명도 휴대전화 정보에서 확인 가능하다. 애플 단말 기준으로, IMEI는 [설정] -[일반] - [정보]에서 각각 확인한다. 모델명도 확인 가능하다. ‘물리적인 SIM’이 아닌 ‘사용가능한 SIM’의 IMEI를 입력해야 한다. 특히 주의할 점은 이심 무료 교체 시 미리 유심보호서비스에 가입했다면 이를 해지하고 변경 후 재가입해야 한다. 또한 기존 사용했던 티머니(이즐) 등 선불 교통카드 잔액은 환불을 미리 신청해야 한다. 스마트워치는 고객센터로 추가 문의해 진행하며, 키즈폰, 노트북 등 일부는 이심 셀프개통이 불가하다.
유심 교체 전 준비사항은?
유심 무상 교체는 전국 T월드 지점 및 공식 대리점(PS&M)과 공항 로밍센터에서 이뤄진다. 4월 18일 자정 기준 가입돼 있던 SKT 가입자는 신분증을 지참해 1회 유심 교체할 수 있으며, 유심 일체형 내장 단말인 일부 워치 및 키즈폰 등은 제외된다. 또한 19일 이후 자비로 유심을 교체한 고객에게는 비용을 별도 환급 절차를 통해 비용을 받을 수 있다. SKT 망을 사용하는 알뜰폰 사업자의 고객도 무상 교체 가능하다. 환급 시기와 방법은 추후 공지될 예정이다.
이를 위해 SKT 고객은 T월드 유심 무료 교체 예약 신청 사이트에 접속 후, 휴대전화 본인 인증을 거쳐 교체 희망 매장을 선택하면 신청 가능하다. 매장명 또는 주소 검색을 통해 선택해 예약을 완료하면 안내 문자가 예약 순서대로 발송된다. 예약 순서에 따라 매장을 방문하면, 현장에서는 신분증과 예약 확인 문자를 대조해 유심 가입자에게 새로운 유심을 전달한다. 다회선 보유 고객은 회선 전체를 일괄 신청도 가능하다. 가족 및 대리인이 방문할 경우 ▲명의자 신분증 ▲대리인 신분증 ▲업무 처리할 휴대전화 ▲기존 유심을 지참해야 한다.
휴대전화에서 유심을 교체하더라도 사용하던 사진, 게임, 앱 등 데이터 손실은 없으나, 유심에 다운로드한 정보(공동인증서, 연락처) 등을 비롯한 중요 데이터는 별도로 클라우드 또는 USB를 활용해 다른 기기에 백업하도록 권장된다. 메신저 앱, 은행, 카드사 앱은 유심 변경 후 재등록 절차를 요구할 수 있다. SKT 관계자는 “휴대전화 제조사 등 고객에 따라 백업할 데이터는 차이가 있다. 그렇다보니 오프라인 매장 직원이 상황을 확인 후 조치가 가능하도록 대면 교체가 필요하다”고 말했다. 또한 선불 교통카드를 사용한다면 잔액을 앱에서 미리 환불 신청해야 한다.
30일 유영상 SKT CEO는 국회 과방위 청문회에서 “유심 개통에는 당사 전산 내 처리가 필수적이라, 인당 처리 가능 속도를 감안할 때 하루 처리할 수 있는 유심 교체 수량이 20\~25만에 불과해 원하는 모든 고객이 유심 교체하기까지는 시간이 필요하다”며, “가능한 가장 빠른 시일 내 원하는 모든 고객에게 전국 약 2600여 개 매장을 통해 유심을 교체해 드리겠다”고 말했다.
SKT, 5월 중순 ‘유심 포맷’ 솔루션 선보일 것
SKT는 30일 “5월 중 소프트웨어(SW) 조치를 통해 물리적으로 유심을 교체하지 않고도 동일한 효과를 내는 ‘유심 포맷’ 솔루션 개발을 추진 중”이라고 전했다. 유심 교체 시 앱 재설정, 데이터 백업 없이 기존 유심 정보를 소프트웨어 측면에서 변경하는 방식이다. 그러나 이 역시 오프라인 매장 방문을 필요로 하며, 5월 중순에나 완료될 것으로 예상돼 당장 효과를 확인하기는 어려워 보인다.
한편, SKT 고객이 서로 유심을 서로 바꿔 사용하는 방식은 권장되지 않는다. SKT 관계자는 “기술적으로 가능할 수 있지만 검증되지 않은 방식으로, 결국 유심 기반에서 단말기만 바꾸게 되기 때문에 의미가 없다. SKT가 공식적으로 안내하는 사항을 따라주시길 바란다”고 말했다.
SKT 고객들의 불안감이 커지는 가운데, SKT는 “이번 사고로 인해 불법 유심 복제 등 피해가 발생할 경우 확실하게 책임지겠다. 민관 합동 조사단의 조사에도 성실히 협조해 이번 사고의 원인과 피해 범위를 철저히 규명하겠다”고 말했다. 그러나 피해 가능 범위나 고객이 유심으로 인한 피해임을 확인할 수 있는 방법 등에 대한 구체적인 논의가 필요해 보인다.
예컨대, SKT는 “불법 복제 유심으로 심 스와핑에 성공했다고 해도 금융거래에 필요한 주민등록번호, 비밀번호 등 개인정보는 없어 추가적인 범죄행위 없이는 금융자산을 탈취할 수 없다”고 설명했지만, 이는 달리 말하면 추가적인 범죄행위가 수반될 경우 금융자산 탈취가 일어날 수 있다는 여지가 있다. 한편 SKT는 “이번 사고로 유심 정보가 유출돼 고객에게 불법 유심 기기변경으로 인한 피해가 발생할 경우 SKT가 책임지겠다”라고 덧붙였다.
IT동아 김예지 기자 (yj@itdonga.com)
