# 국내 통신사 1위 업체 SK텔레콤의 '유심 해킹' 사건으로 대한민국이 혼란에 빠졌습니다. 주말만 되면 SK텔레콤 대리점 앞은 유심을 교체하기 위해 모여든 소비자들로 장사진을 이룹니다. 수량이 부족해 유심을 바꾸지 못한 이들 사이에선 실랑이까지 벌어집니다. '해킹의 공포'가 낳은 웃지 못할 상황입니다.
# 여기에 SNS를 타고 퍼지는 소문들이 공포에 기름을 붓습니다. 해킹된 유심 정보에 개인정보를 결합하면 금융 정보에 접근할 수 있는 '치트키'가 만들어진다는 얘기가 시민들의 입에 오르내립니다. 이 말은 정말 사실일까요? 더스쿠프가 논란의 중심으로 펜을 집어넣었습니다. 심층취재 추적+ '유심 해킹과 파생된 공포' 1편입니다.
 |
"최근 SK텔레콤 해킹 사태로 불편을 초래했다. SK그룹을 대표해 사과드린다." 지난 7일, 최태원 SK그룹 회장이 기자회견을 열고 '대국민 사과'를 했습니다. 4월 18일 SK텔레콤의 고객 유심(가입자식별장치·USIM) 정보가 해킹된 지 19일 만입니다.
그룹의 수장이 나서서 고개를 숙일 정도로 이번 SK텔레콤 해킹 사건은 사회에 커다란 파장을 일으켰습니다. 무엇보다 가입자 2400만명에 달하는 SK텔레콤 소비자 중 불안함을 느끼는 이들이 숱합니다. 이번 해킹 사건으로 '내 휴대전화가 복제될 수 있다'는 소문이 업계 안팎에서 홍수처럼 쏟아진 탓입니다.
■ 1차 복제 우려 = 특히 소비자들은 휴대전화에서 2차 피해가 발생할 가능성에 민감하게 반응했습니다. 예를 들어볼까요? 지난 4월 22일 부산 남부경찰서는 "나도 모르는 사이에 알뜰폰이 개통되고 은행 계좌에서 5000만원이 빠져나갔다"는 소비자 신고를 접수했습니다.
그러자 누리꾼뿐만 아니라 미디어들까지 앞다퉈 이 소식을 인터넷 커뮤니티에 공유했습니다. 그러면서 "유심 해킹 때문에 이런 일이 벌어진 것 아니냐"는 의혹을 제기했죠. 부산경찰청 사이버범죄수사대의 사전조사 결과, 이 사건은 유심 해킹과 연관성이 낮은 것으로 밝혀졌습니다.
일주일 후인 4월 29일엔 SNS 엑스(옛 트위터)에 'SK텔레콤 고객정보를 판매한다'는 글이 올라와 누리꾼 사이에서 논란이 일기도 했습니다. 구글 트렌드에 따르면, 이날 'SK 유심 해킹'의 검색 빈도가 최고치인 100을 기록하기도 했습니다. 이를 두고 SK텔레콤은 지난 3일 "이번 해킹 사고와는 무관한 사건"이라며 공식 입장을 밝혔습니다.
이런 우려는 현재 어느 정도 가라앉은 상태입니다. 정부가 출범한 민관합동조사단의 4월 29일 1차 조사 결과도 1차 우려를 잠재우는 데 도움을 줬습니다. 조사 결과에 따르면, 이번 해킹사고로 전화번호, 가입자식별키(IMSI) 등 유심 복제에 활용될 수 있는 정보 4종, SK텔레콤이 유심 정보를 처리하기 위해 사용하는 정보 21종만 유출됐습니다.
다행히 '휴대전화의 주민등록번호'라 불리며 복제폰을 만드는 필수요소인 단말기고유식별번호(IMEI)는 유출되지 않은 것으로 확인됐습니다. 그로 인해 복제폰을 양산하는 최악의 사태는 면했다는 게 정부의 설명입니다.
소 잃고 외양간 고치는 격이긴 합니다만, SK텔레콤의 대응도 휴대전화 복제 우려를 조금은 누그러뜨렸습니다. 김희섭 SK텔레콤 PR센터장은 지난 7일 일일브리핑에서 "SK텔레콤 고객 2300만명과 자사 알뜰폰망 고객 200만명 중 서비스 적용이 가능한 모든 고객이 가입을 완료했다"고 밝혔습니다. SK텔레콤 이용자의 서비스 가입률이 100%에 달한다는 얘기입니다.
[※참고: 유심보호서비스는 자신의 유심을 다른 기기에서 사용할 수 없도록 차단하는 서비스입니다. 이를 통해 타인이 자신의 유심 정보를 복제·탈취해 다른 기기에서 접속하는 것을 막을 수 있습니다.]
![[사진 | 뉴시스]](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/74/2025/05/09/ea2703e8f29544c1b7285bc0ad1995f4.jpg) |
[사진 | 뉴시스] |
■ 2차 결합 우려 = 문제는 '휴대전화 복제의 공포'가 어느 정도 가라앉자 또다른 소문들이 꼬리를 물고 있다는 점입니다. 대표적인 게 유심과 개인정보가 결합하면 큰일이라는 겁니다. 이는 이름·주민등록번호 등 이미 암암리에 퍼져 있는 개인정보와 이번 해킹 사건으로 유출된 정보가 합쳐지면 개인의 금융 정보에 접근할 수 있다는 이론입니다.
논리가 꽤 그럴듯해 누리꾼 사이에선 가능성 여부를 두고 찬반양론이 팽팽하게 일고 있습니다. 공교롭게도 전문가들의 의견 역시 마찬가지입니다. 몇몇 전문가는 "개인정보 결합으로 타인의 돈을 탈취할 가능성이 낮다"고 말하지만, 또다른 몇몇은 "은행·증권사 등 한국 금융 서비스에서 요구하는 인증 정보가 한두가지가 아니어서 의심해볼 만하다"고 주장합니다. 도대체 누구 말이 맞는 걸까요? 더스쿠프가 논쟁 속에 펜을 집어넣었습니다.
■ 논쟁➊ 활용 불가능 = "이번에 해킹된 유심 속 정보와 이미 퍼져 있는 개인정보를 결합해 금융 서비스에 접속하는 건 현실적으로 불가능하다." 현재의 다수 의견입니다. 주요 근거는 은행·증권사 등 국내 금융 서비스에서 요구하는 인증 정보가 한두가지가 아니라는 겁니다.
가령, 해킹범이 다른 스마트폰에서 여러분의 돈을 인출한다고 가정해 볼까요? 해킹범이 앱에 접속하려면 아이디·비밀번호 등 '본인 인증 정보'를 입력해야 하는데, 설사 맞더라도 '2차 인증'을 해야 합니다. 본인 인증 정보를 넣든 말든 '인증되지 않은 기기에서 접속한' 것이니까요.
그럼 해킹범은 일회용 비밀번호(OTP)나 휴대전화 SMS 인증번호, 공동인증서 등을 입력해야 합니다. 운 좋게 이 단계를 통하더라도 돈을 인출할 수 있는 건 아닙니다. ARS 인증, 영상통화 등 추가 인증 작업을 또 거쳐야 합니다. 해킹범이 손쉽게 통과할 수 있는 프로세스가 아닌 셈입니다.
김승주 고려대(정보보호학) 교수의 설명을 들어보시죠. "국내 대다수의 금융 서비스는 공동인증서와 OTP 등 강력한 본인 인증 체계를 갖고 있다. 우리가 평소 '로그인이 복잡해 불편하다'고 느꼈던 것들이 지금 해킹 사태에서 우리를 지켜주는 것이다. 유심 정보만으론 해킹범이 금융거래를 직접 수행할 수 없다. 다른 자잘한 개인정보와 결합해도 마찬가지일 것이다."
만에 하나 해킹범이 이 모든 정보를 갖고 있다고 해도 또다른 장벽이 있습니다. 앞서 언급한 유심보호서비스입니다. 이 서비스에 가입했다면 일단은 안심할 수 있습니다. 해킹범이 여러분의 유심 정보를 복제해 다른 기기에서 접속하는 순간 유심보호서비스가 이를 알리고 즉각 차단하기 때문입니다.
![[사진 | 뉴시스]](https://thumb.zumst.com/780x0/https://static.news.zumst.com/images/74/2025/05/09/c858dea6473749008bf42fbf7251492e.jpg) |
[사진 | 뉴시스] |
SK텔레콤이 2022년에 도입한 FDS(불법복제유심인증차단)도 도움이 됩니다. 이는 불법 유심으로 의심되는 비정상적인 인증을 실시간으로 찾아내 차단하는 시스템입니다. 서울에서 스마트폰을 쓰던 사용자의 위치가 갑자기 부산에서 발견될 경우, 이를 비정상 인증으로 간주해 차단하는 식입니다.
김승주 교수는 "유심 교체가 가장 근원적인 해결책이지만, 일단 유심보호서비스에만 가입해도 국내 가입자는 충분히 대응할 수 있다"면서 "공포감에 떨 필요 없이 기다렸다가 유심 공급이 어느 정도 원활해지면 그때 교체하면 된다"고 조언했습니다.
이처럼 "유심 속 정보와 개인정보가 결합할 가능성이 희박하다"는 의견이 다수설이지만, 반론도 만만치 않습니다. '보안에 100%란 건 없다'는 이유에서인데, 허황된 주장은 아닙니다. 이 이야기는 '유심 해킹과 파생된 공포' 2편에서 다루겠습니다.
이혁기 더스쿠프 기자
lhk@thescoop.co.kr
이 기사의 카테고리는 언론사의 분류를 따릅니다.