[이슈Law] ‘유심 해킹 사태‘, 성급한 초기대처가 혼란 키워

SK텔레콤(SKT) 가입자의 유심(USIM) 정보가 대규모로 유출되는 초유의 해킹 사건이 발생했습니다. 하지만 더 큰 문제는 정부와 SKT의 대응이라고 판단됩니다. 어떤 문제가 있었는지 김상천 변호사(법무법인 동인)와 함께 살펴보겠습니다.

▲최태원 SK 그룹 회장이 7일 서울 중구 SKT타워에서 열린 SK텔레콤 이용자 유심(USIM) 정보 해킹 사고 관련 일일브리핑에서 대국민 사과를 하고 있다. 조현호 기자 hyunho@

21일 관련 업계에 따르면 SKT 해킹 사건을 조사 중인 민관합동 조사단은 해커가 2022년 6월부터 장기간 내부 시스템에 접근해 왔고, 포렌식 결과 총 23대의 서버가 감염된 사실을 확인했다고 19일 밝혔다.

지난달 29일 민관합동조사단의 1차 조사 결과의 핵심은 ‘단말기 고유식별번호(IMEI)는 유출되지 않았다’는 점이었다. IMEI는 유심이 복제돼 제3의 단말기에서 사용될 경우 원래 기기와 다를 경우 통신사 시스템에서 이를 차단하거나 경고하는 기준으로 활용된다.

정부는 IMEI가 유출되지 않았기 때문에 이번 해킹으로는 ‘심 스와핑(SIM Swapping)’과 같은 불법 복제가 실제로 일어날 가능성이 작다고 판단했다. SKT도 이 부분을 반복해서 강조했다.

하지만 1차 조사 결과는 HSS(홈 가입자 서버) 3대를 포함한 5대 서버에 대한 분석에 국한된 것이었다. 정부도 당시 “다른 서버에 대한 조사가 진행 중”이라고 밝혔지만, 전체 조사가 완료되기도 전에 핵심 내용을 단정적으로 공개하며 성급하게 대응한 것으로 보인다.

HSS는 동일 보안 경계 내의 인증 서버나 로그 서버 등과 물리적·논리적으로 연결돼 있다. 해커가 HSS에 침입했다면 인접 서버로의 수평 이동도 가능하다는 점은 보안업계에선 상식에 가깝다. 즉 HSS 내부 데이터뿐 아니라 연결된 다른 시스템에 저장된 IMEI 등 중요 정보의 유출 가능성도 함께 고려했어야 한다.

정부는 IMEI 유출이 없다는 점을 강조해 사실상 사건의 피해 가능성을 축소했다. 결국 해커가 언제, 어떤 경로로 침입했는지조차 명확히 규명되지 않은 상황에서 IMEI 유출 가능성을 단정적으로 배제하는 듯한 정부의 발표는 시기상조였던 셈이다.

김상천 변호사는 “해킹 경로와 침입 방식, 어떤 정보가 어떤 시점에 유출되었는지는 향후 법적 책임을 따지는 데 핵심적인 요소가 된다”며 “정부나 통신사가 정확한 사실 규명 이전에 피해가 없다고 단정하거나 유출 가능성을 축소하게 되면, 피해자로서는 소송이나 배상 절차에서 불리해질 수 있다”고 지적했다.

실제 정부의 2차 조사 결과에서는 해킹된 일부 서버에 IMEI를 비롯한 개인정보가 임시 저장되어 있었고, 그중 약 29만 건의 IMEI가 외부로 유출되었을 가능성까지 확인됐다.

IMEI는 유심 복제와 복제 단말기 운용에 핵심적인 변수로 작용한다. 유심 자체는 가입자 식별 정보(IMSI)와 인증키(K값)만으로도 복제할 수 있으나, 통신사는 이를 방지하기 위해 유심과 IMEI를 연동해 인증하는 ‘유심 보호 서비스’를 운영한다. 따라서 IMEI까지 유출되면, 기술적으로 유심 복제뿐만 아니라 복제폰 작동도 가능해질 수 있다.

▲6일 서울 시내의 한 SK텔레콤 직영점에서 시민들이 신규 가입 업무 중단 안내문을 살펴보고 있다. SK텔레콤은 5일부터 유심(USIM) 정보 해킹 사고로 유심 교체를 원하는 기존 가입자부터 우선적으로 교체하기 위해 전국 T월드 매장과 온라인에서 신규 가입 업무를 중단했다. 조현호 기자 hyunho@

SKT도 피해 규모나 영향에 대해 설득력 있는 설명을 내놓지 못한 채 사태를 축소하려는 태도를 보인다. SKT는 “IMEI가 함께 있어야 복제폰이 작동한다”며 복제폰 가능성을 사실상 부정했다가 2차 조사 결과가 나오자 FDS(Fraud Detection System) 등 사후 탐지 시스템이 정상 작동하고 있다는 점만 강조했다.

FDS는 실시간 대응보다는 이상 징후를 감지해 사후에 차단하는 시스템에 가깝다. 복제 유심이 정상 접속한 직후에는 OTP 문자나 금융 인증을 가로챌 시간적 여유가 있을 수 있다. 또 알고리즘 기반 자동화 시스템인 FDS는 새로운 공격 패턴에 적응하는 데 일정 시간이 필요하다는 한계도 있다.

김 변호사는 “결국 정부의 성급한 발표가 사건의 위험성을 과소평가하게 만들었고, 국민의 초기 대응과 경계심에도 부정적인 영향을 미쳤다”며 “SK텔레콤 역시 IMEI 유출 가능성을 인정하고, 2차 피해를 막기 위해 더 적극적으로 유심 교체에 나서야 한다”고 강조했다.

이어 “이번 사태는 해킹 자체보다 성급한 대응이 더 큰 혼란을 불러올 수 있음을 보여주는 대표적 사례로 기록될 것”이라고 말했다.

[도움]

김상천 변호사는 법무법인(유한) 동인 소속으로, 컴퓨터 보안 분야 석사 학위를 취득한 후 국가보안기술연구소에서 해킹 및 침해사고 대응과 분석 업무를 수행한 경력을 가지고 있습니다. 현재 개인정보보호 및 통합보안팀, 수사대응팀, 영장포렌식팀 등에서 활발히 활동하며 관련 분야 전문성을 발휘하고 있습니다.