과기정통부·보안업계 유출된 유심 정보로 금융자산 탈취 불가능...'유심 공포' 실체는 없었다(종합)

"유심보호서비스 가입으로 2차 피해 충분히 막을 수 있어"
"복제폰 제작 성공한 최악의 경우 상정해도 금융권 보안 통과 어려워"

가입자 유심USIM 정보를 탈취당한 SK텔레콤이 유심 무료교체 서비스를 시작한 28일 서울 시내 한 SKT 대리점에서 시민들이 유심 교체를 위해 줄을 서 차례를 기다리고 있다 20250428사진유대길 기자 dbeorlf123ajunewscom — 가입자 유심(USIM) 정보를 탈취당한 SK텔레콤이 유심 무료교체 서비스를 시작한 28일 서울 시내 한 SKT 대리점에서 시민들이 유심을 교체하기 위해 차례를 기다리고 있다. 2025.04.28 [사진=유대길 기자 dbeorlf123@ajunews.com]

SK텔레콤 유심(USIM) 정보 해킹 사태로 인해 금융자산이 탈취될 수 있다는 우려는 사실이 아닌 것으로 확인됐다. 민관합동조사단이 조사한 결과 유출된 데이터에 개인을 특정할 수 있는 정보는 없었다. 전문가들은 복제폰을 만든다 해도 금융기관 추가 인증을 뚫을 방법은 없어 유심보호서비스 가입만으로도 개인정보 보호가 충분하다고 설명했다.

29일 과학기술정보통신부는 SK텔레콤 유심 정보 유출 사고와 관련해 민관합동조사단이 일주일간 조사한 결과 단말기 고유식별번호(IMEI)는 유출되지 않았다고 밝혔다.

가입자식별키(IMSI) 등 4종과 관리용 21종 관련 정보가 유출됐지만 유심보호서비스에 가입했다면 이번에 유출된 정보만으로는 유심 복제나 불법 사용(심스와핑)은 차단할 수 있다는 것이 조사단 측 판단이다.

민관합동조사단 관계자는 "유출된 정보는 서버 인증에 필요한 일종의 프로토콜로 보면 된다"며 "이용자 주민등록번호나 주소는 유출되지 않았다. 가입자 전화번호, IMSI 등 유심 복제에 활용될 수 있는 정보들은 유심보호서비스에 가입하면 문제가 없다"고 설명했다.

관련기사

주요 보안 전문가들은 유심보호서비스에 가입했다면 이번 SK텔레콤 유심칩 해킹만으로는 심복제나 심스와핑을 통한 금융자산 탈취는 애초부터 불가능하다고 단언해왔다. 부산에서 휴대전화 먹통 현상 이후 5000만원을 도난당한 사건은 스미싱 공격으로 이번 유심 정보 유출과는 관련 없다는 견해를 밝혔다.

이성엽 고려대 기술경영전문대학원 교수는 "금융계좌를 해킹하려면 유심을 복제한 뒤 기기를 임의로 변경하고, 문자 등 각종 인증 절차를 거쳐야 한다"며 "이런 요건이 없는 상태에서 피해를 입었다는 것은 납득하기 어렵다"고 말했다.

김승주 고려대 정보보호대학원 교수 역시 "금융거래 시 공동인증서, 일회용 비밀번호 생성기(OTP)를 활용하며 유심 정보만으로는 금융거래를 직접 수행하거나 신분증을 위·변조해 2차 피해로 확산하기 어렵다"고 말했다.

이어 "이동통신사 네트워크는 동일한 유심값을 가진 기기가 동시에 접속하려 할 때 이를 즉시 탐지하도록 설계돼 있다"며 "이용자가 유심보호서비스에 가입했다면 복제된 유심이 다른 단말기에 장착될 때는 차단이 가능하다"고 설명했다.

염흥열 순천향대 정보보호학과 교수는 "현재까지 해커가 할 수 있는 최악 상황은 복제 유심을 통한 복제폰 제작 정도지만 이 역시 유심보호서비스에 가입하면 문제가 되지 않는다"며 "휴대폰 가입을 위해 신분증 조회 등 대면 인증 등이 필요해 기술적으로 어렵다"고 분석했다.

유심 해킹 이후 금융권과 산업계는 SK텔레콤 유심 인증 차단에 나섰다. 이에 대해 보안업계는 불필요한 행위라고 해석했다.

한 보안업계 관계자는 "복제폰을 통해 금융정보가 유출될 가능성이 있다면 통신사 인증에 전적으로 의존할 수 없기 때문에 SK텔레콤 인증을 차단하는 조치가 필요할 것"이라며 "하지만 금융권도 이상거래탐지시스템(FDS)을 갖추고 있어 굳이 인증을 막을 필요는 없다"고 말했다.

김승주 교수는 "금융사마다 보안 수준은 다르다"며 "KB국민은행 등 일부 은행은 인증 차단 대신 추가 인증을 요구하는데, 유심이 복제되더라도 금융권의 여러 보안 장치로 인해 실제 보안이 뚫리는 사례는 거의 없다"고 말했다.

개인정보보호위원회의 의견 역시 민관합동조사단과 비슷했지만 개인정보 범위에 대해선 이견을 보였다.

이날 최장혁 개인정보보호위원회 부위원장은 서울 종로구 정부서울청사에서 정례 브리핑을 갖고 "우리나라 1위 통신사의 메인서버가 해킹당했다는 것은 상징적인 일"이라면서 "충분한 안전조치가 이루어지지 않았다고 볼 수 있는 개연성은 있지만 아직 조사중"이라고 밝혔다.

주민등록번호와 같은 민감 정보 유출 여부는 조사중이라고 밝혔다. 유출된 가입자 전화번호와 식별키(IMSI)를 개보위는 개인정보로 보고 있어 향후 논란이 될 것으로 보인다.

최 부위원장은 "이번 사태는 과거 LG유플러스 해킹 사건과는 차원이 다르다"면서 "LG유플러스는 부가서비스 해킹이었고, 해킹 시점도 2018년 이전이었기 때문에 정확한 해킹 경로를 파악하기 어려웠다. 또 과징금 부과 시점 역시 개인정보보호법 개정 전이라 관련 매출액의 3%였다"고 밝혔다.

SKT의 경우 법 개정 이후로 전체 매출액의 3% 과징금 기준이 적용된다. 최대 수천억원대의 과징금이 부과될 수도 있다. 최 부위원장은 "관련 없는 매출은 빼는 등 감경 요소가 있을 수 있지만 전체 매출액의 3% 기준이 적용된다"며 "이번 사건은 메인서버 해킹이기 때문에 커버리지가 넓을 것"이라고 밝혔다.