 |
SK텔레콤의 나노 규격 유심(USIM) 카드. /사진=성시호 |
SK텔레콤이 지난해 유심(USIM·가입자식별장치) 대란 당시 '유심(USIM·가입자식별장치) 교체와 동일하다'고 홍보했던 '유심 재설정'(포맷)이 유출정보 중 일부만 바꾸는데 그친 것으로 나타났다. 유심 복제에 필요한 인증키 값은 그대로 유지돼 보안 우려가 남아있다는 분석이다. SKT가 당시 유심 부족 사태를 해결하기 위해 유심 재설정 효과를 과장 광고했다는 비판도 나온다.
7일 업계에 따르면 지난달 독일 함부르크에서 열린 유럽 최대 보안 컨퍼런스 '39C3'에서 박신조 독일 베를린공대 박사 등 연구진은 SKT에서 유심 재설정 전후로 인증 토큰을 비교 분석한 결과 IMSI(가입자식별번호)는 변경됐지만, 인증키는 달라지지 않았다고 발표했다. 이번 연구는 미리 캡처한 인증토큰(RAND·AUTN)으로 유심 재설정 후 인증을 요청하는 방식으로 진행됐다.
지난해 4월 SKT 해킹 당시 유출된 유심 정보는 △전화번호 △IMSI △인증키 2종(Ki/OPc)이다. 유출 규모는 IMSI와 인증키 기준 2695만7749건이다. 당시 유출된 IMSI와 인증키로 유심을 복제(심클로닝) 할 수 있다는 우려가 제기된 만큼 두 정보의 변경은 중요하게 여겨졌다. 이에 대해 염흥열 순천향대 정보보호학과 명예교수는 "유심 재설정으로 인증키가 변경되지 않는다면 해킹공격에 취약할 가능성이 있다"고 지적했다.
윤지혜 기자 yoonjie@mt.co.kr
Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.
이 기사의 카테고리는 언론사의 분류를 따릅니다.