IMEI·IMSI 동시 유출 땐 복제폰 위험⋯전문가 "최악의 상황 고려하라"

IMEI는 휴대폰 식별하는 15자리 고유번호
IMSI는 통신망에서 가입자 인증ㆍ식별 때 쓰여
전문가 "자칫하면 유심보호서비스 무력화돼"

▲6일 서울 시내의 한 SK텔레콤 직영점에서 시민들이 신규 가입 업무 중단 안내문을 살펴보고 있다. SK텔레콤은 5일부터 유심(USIM) 정보 해킹 사고로 유심 교체를 원하는 기존 가입자부터 우선적으로 교체하기 위해 전국 T월드 매장과 온라인에서 신규 가입 업무를 중단했다. 조현호 기자 hyunho@

최근 SK텔레콤에서 2700만 건의 모바일 가입자 식별번호(IMSI)가 유출된 것으로 드러나 파장이 커지고 있다. 29만 건의 단말기 고유식별번호 등 개인정보를 임시 관리했던 서버 2대도 악성코드에 감염돼, 단말기 고유식별번호(IMEI)까지 빠져나가는 것 아니냐는 우려까지 더해지고 있다.

20일 업계에 따르면 IMSI는 통신망에서 가입자를 인증하거나 식별할 때 사용되는 숫자 코드다. 주로 휴대전화의 유심(USIM) 또는 이심(eSIM)에 저장돼 있다. IMSI는 가입자의 국가, 이동통신사, 개인 식별번호 등 정보를 포함한다. IMSI는 휴대전화가 처음 네트워크에 접속하거나 해외에서 로밍할 때, 가입자의 신원을 밝히기 위해 사용된다.

IMEI는 사용자가 가진 휴대전화 한 대 한 대를 식별하는 15자리 고유번호다. 주로 단말기의 제조사, 모델, 생산 일련번호 등으로 구성됐다. IMEI는 휴대전화가 통신망에 접속할 때 기기를 식별하거나, 도난·복제폰 여부를 확인하는 데 사용된다.

IMSI는 심(SIM) 카드에 저장된 번호로, 유심이나 이심을 교체할 경우 IMSI도 바뀐다. 그러나 IMEI는 휴대전화 단말기에 고정된 번호로, 휴대전화를 초기화하거나 심(SIM) 카드를 교체해도 IMEI는 바뀌지 않는다.

문제는 IMEI와 IMSI가 동시에 유출될 경우다. 이러한 경우 심 스와핑(유심을 복제해 다른 스마트폰에 꽂아 불법적인 행위를 하는 수법)을 통한 불법 복제 핸드폰 생성 등이 가능해진다.

박춘식 아주대 사이버보안학과 교수는 "IMSI 등 유심 정보와 IMEI가 같이 유출될 경우 심 스와핑 가능성이 있다"고 말했다. 이어 그는 "심스와핑이 어렵다는 건, 다른 개인정보가 유출되지 않았을 거란 전제 아래에서 가능한 말"이라며 "이번 2차 조사에서는 이름, 생년월일, 전화번호 등이 유출됐을 가능성이 있다고 정부가 발표하지 않았느냐"고 했다. 박 교수는 “지금 (피해가) 안 나타났다고 해서 그게 없다고 말할 수 없다. 언제, 어떤 형태든 이후에 피해로 나타날 수 있는 문제다"라고 강조했다.

또한, SKT의 유심보호 서비스가 무력화될 수 있다는 지적도 제기됐다.

염흥열 순천향대 정보보호학과 명예교수는 "기술적으로 봤을 때 유심 복제가 가능하다. 더 큰 문제는 최악의 경우 유심보호 서비스의 유효성에도 문제가 생길 수 있다는 것"이라고 했다. 유심보호 서비스는 유심 정보와 휴대전화를 1대1로 비교해 두 정보가 일치하지 않으면 통신을 차단하는 구조인데, IMEI와 IMSI가 모두 유출될 경우 이 기능이 무용지물이 될 수 있다는 설명이다.

IMEI 유출 여부에 대해선 시각차가 존재했다. 박 교수는 "상황적으로, 서버가 감염될 경우 (안에 있던 정보가) 유출될 가능성이 크다"며 "SKT 측에서 주장하는 유출이 안 됐다고 말하는 근거가 무엇인지 명확하게 모르겠다"고 말했다. 염 교수는 "(정부와 SKT의) 양쪽 주장의 팩트를 확인할 수 없다"며 "그 이유는 해킹이 된 게 2022년 6월인데, 2024년 12월까지의 로그 분석 데이터가 없어졌다. 이걸 확인할 방법이 없다"고 했다.

전문가들은 피해 가능성이 완전히 배제되지 않는 만큼 비정상 인증탐지시스템(FDS), 유심 교체 등 선제적 보안 조치가 필요하다고 강조했다.

박 교수는 "SKT가 FDS를 고도화했다고 하는데, 이게 어느 정도의 이상징후를 탐지할 수 있는지를 봐야 한다"며 "이용자 패턴, 장소 등을 정밀하게 분석할 수 있을 정도가 돼야 한다. 예를 들어 스마트폰으로만 은행 업무를 보던 이용자가 갑작스럽게 PC로 거래할 경우, FDS가 이상 패턴을 잡아낼 수 있어야 한다"라고 설명했다. 이어 그는 "FDS에 인공지능(AI)을 접목해 고도화할 수 있다"면서도 "사고가 발생한 지 한참 지난 후에야 대응하는 것을 보면 신뢰감이 떨어질 수밖에 없다"고 지적했다.

염 교수는 "모든 단말기에 있는 유심을 교체하거나 재설정하는 것이 가장 바람직한 방향"이라며 "항상 최악의 경우를 고려하고 준비해야 한다. 유심보호 서비스의 유용성을 보완하는 FDS 고도화도 필요하다"고 했다.