에이닷 음성 파일도 저장 안 돼…오해 팩트체크
"유심 도착했다" 문자 보낸 적 없어 스미싱 주의
 |
유영상 CEO와 관련 임원들이 2일 질의응답을 진행하는 모습. (왼쪽부터) 김희섭 PR센터장, 류정환 네트워크 인프라센터장, 유영상 CEO, 임봉호 MNO사업부장. |
SK텔레콤은 2일 해킹된 유심(USIM) 정보만으로 금융 자산을 탈취할 수 없다며 일각의 우려에 대해 일축했다. 유심을 복제해도 핸드폰에 저장된 문자나 앱 역시 복제할 수 없다고 밝혔다.
류정환 SKT 네트워크 인프라센터장(부사장)은 이날 오전 서울 을지로 SKT타워에서 설명회를 열고 "금융자산 정보나 그 이외의 개인의 전화번호 또는 인증 정보는 전혀 (외부로) 나가지 않았다"면서 "유심에는 이러한 정보가 없어 유심정보만으로는 금융자산을 탈취할 수 없다"고 말했다.
류 센터장은 "가장 흔히 오해되는 게 유심 공간에서 해킹이 되는 부분, 그다음에 망과 연동되는 부분, 물리적인 공간이 있는 부분, 그 다음에 우리가 흔히 얘기하는 앱에 대한 부분은 유심에 저장되는 게 아니고 단말기에 저장되기 때문에 유심과 전혀 관계가 없다"고 말했다. 아울러 "유심이 도착했다는 문자를 보낸 적이 아직 없다"며 스미싱 범죄에 대한 주의를 당부했다. 다음은 유영상 SKT 대표와 임원들이 밝힌 주요 내용을 일문일답 방식으로 정리한 내용이다.
SKT는 2일 기준 아직 이런 문자를 발송하고 있지 않다. 이런 문자는 실제 재고가 어느 정도 풀린 상태에서 고객의 대기 순서가 되면 그때 발송을 할 것이다. 반드시 저희가 발송을 할 때는 114로 보낸다. 습관처럼 어디서 왔는지 수신 번호를 확인하길 바란다.
유심은 유심 공급 업체들이 반도체를 사서 제조를 하고, 소프트웨어를 탑재하는 방식으로 납품한다. SK텔레콤 기준으로 1년에 평소 20만 장, 시장 기준으로 한 40만 장 수요가 있다. 1년에 500만 장 정도가 대한민국 총 (평소) 수요다. 이 사고가 나자마자 유심 500만 장을 추가 주문했고, 6월 분도 500만 장을 주문했다. 7월도 필요하면 더 주문을 할 예정이다. 주문량이 부족한 것이 아니라 딜리버리(배송) 기간이 있으므로 이달 14일 정도까지 부족한 부분이 있다. 최근에 또 로밍 고객이 워낙 많아 로밍 고객 우선 지원을 해주다 보니 현장에 배포가 좀 부족한 건 사실이다. 그 기간에 대해서는 사과를 드리며 최대한 노력하겠다.
아니다. 연락처나 문자, 앱 등은 휴대폰의 자체 메모리나 유심 메모리에 저장될 수 있다. 유심은 망과 연동되는 부분과 물리적인 메모리로 나눌 수 있는데, 이번 사고로 유출된 정보는 망과 연동되는 부분이다. 따라서 연락처, 문자, 휴대전화 앱 등 정보는 이번 사고로 복제할 수 없다. 이 부분이 위험한 건 뭐냐면 도난을 당했을 때다. 만약에 유심을 도난 당했다면 물리적인 부분이 문제가 되는 거지 이번 사고와는 관계가 없다.
아니다. 유심에는 이름, 주민등록번호와 같은 개인정보와 계좌정보는 담겨 있지 않다. 유심은 △망과 연동되는 가입/인증 정보와 △가입자가 직접 저장한 정보로 구성되며, 이번 사고로 유출된 정보는 망과 연동되는 부분이기 때문에, 개인정보와 계좌정보는 유출 사고와는 관련이 없다.
유심보호서비스와 이상거래탐지시스템FDS)으로 차단하기 때문에 복제 자체가 불가하다.
 |
유영상 CEO가 2일 고객 보호 추가 조치 방안에 대해 발표하는 모습 |
아니다. 유심보호 서비스는 유심 교체와 동일한 효과의 보안 장치이다. 그럼에도 불구하고 유심 교체를 원하신다면 무료로 제공하고 있다. 현재 (2일 기준) 유심 보호 서비스를 가입한 고객은 1442만 명을 넘었다. 아직 가입 신청을 하지 않은 고객 약 850만 명에 대해 오늘부터 고령자, 장애인 등 디지털 취약 계층을 우선으로 하루에 최대 120만 명씩 순차적으로 자동 가입이 이뤄진다. 이 작업은 14일까지 완료될 예정이다. 고객 필요에 따라 서비스를 잠시 해제하시는 것도 가능하다.
민관합동조사단 1차 조사 결과에 따르면, 유출된 정보는 유심과 관련된 정보로 확인되었기 때문에 유심을 교체하거나 유심보호서비스에 가입하게 되면 안전하다.
은행의 인증과 이번 침해 사고와는 관련이 없다. 은행 앱에서 금융거래하려면 비밀번호, OTP 등 추가적인 인증수단이 필요한데, 해당 정보는 금번 사고와 관련이 없다. 앱이 작동되더라도 SNS 인증이라든지 아니면 공인인증서를 통한 인증 절차가 필요하므로 유심과 관계가 없다.
이것도 관련이 없다. 일단은 거래 은행 앱에서 일련의 절차가 일어나는 거는 휴대폰에 저장이 되더라도 유심에 저장이 되는 게 아니고 우리가 흔히 앱을 깐다고 하지 않나. 그 앱에 대한 문제이기 때문에 휴대폰과 이 유심과는 관계가 없다.
아니다. 금번 유출 사고는 에이닷 서버와 관련이 없다. 또한, 에이닷 음성녹음 파일은 개인 단말기에 저장되며 서버에 저장되지 않는다.
HSS(이번에 해킹된 서버) 같은 경우에는 시간적인 처리에 민감한 장비이다. 전화를 하면 바로 인증이 돼야한다. HSS안에 있는 장비 자체는 암호화가 안 돼 있도록 하는 것이 3GPP(국제이동통신표준화기구) 기술 표준이다. 인크립션(암호화)-디크립션(복호화) 과정을 거치면 레이턴시(지연)가 발생할 수 밖에 없다. 그럼에도 불구하고 (이번 사태를 계기로) 저희는 HSS 자체에서도 암호화가 혹시 될 수 있는 부분이 있는지 없는지에 대해 교수진과 벤더를 통한 자문단을 만들었다. 이번에 그런 쪽으로 대책을 세우려고 한다.
위약금 면제 부분은 청문회에서도 계속 말씀드렸다시피 굉장히 복잡한 사안이다. 단독으로 결정할 수 있는 부분이 아니라 이사회 논의와 의결을 거쳐야 하는데, 법무 검토가 끝나는 대로 이사회와 충분히 논의할 것이다. 과기정통부의 법무 검토도 종합적으로 판단할 예정인데, 시기에 대해서는 특정해서 말씀드리기가 어렵다.
[이투데이/안유리 기자 (inglass@etoday.co.kr)]
▶프리미엄 경제신문 이투데이 ▶비즈엔터
이투데이(www.etoday.co.kr), 무단전재 및 수집, 재배포금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.