해킹 사고로 위기 직면한 이동통신 1위
유심 무상 교체·보호서비스 등 대책 마련했지만
해킹 경로·피해 규모 밝혀진 바 없어 실효성 의문

유심(USIM) 해킹 사고에 대한 SK텔레콤의 ‘어설픈 대응’에 비판의 목소리가 커지는 가운데 SK텔레콤이 “피해가 발생했을 땐 100% 책임지겠다”는 대국민 호소문을 내놨다. 유심 카드를 확보하지도 못한 채 가입자 2,300만 명 전원에게 무료 교체를 발표해 전국 대리점 등 현장에서 혼선이 빚어지며 불만의 목소리가 커진 데 따른 대응이다. 하지만 피해 규모 및 해킹 경로, 원인 등이 명확히 밝혀지지 않은 상황에서 기술 고도화만으로 추가 피해를 실질적으로 막을 수 있을지에 대한 우려가 여전한 상황이다.

SKT "불법 유심 복제 피해 발생 시 책임지고 보상"

28일 통신업계에 따르면 SK텔레콤은 한국인터넷진흥원(KISA)에 해킹 공격에 따른 유심 일부 정보의 유출 정황을 신고(20일)한 지 닷새 만인 지난 25일 유심 무료 교체를 발표했다. 해킹 사실을 확인한 즉시 의심 장비를 격리하고, 유심 무단 복제 등 피해 신고 사례가 없다는 것을 확인했음에도 가입자의 불안을 해소하기 위한 선제 조치였다.

하지만 재고를 확보하지 못한 채 무료 교체를 서둘러 발표하면서 오히려 역풍을 맞고 있다. 공식 교체일은 28일부터라고 했지만 막상 현장에선 주말을 이용해 유심을 교체하려는 사용자가 대리점에 몰려 혼란이 빚어졌다. 일부 대리점에서는 일찌감치 ‘유심 재고 없음’이라는 표시를 문밖에 붙여 이용자의 불안을 키웠다.

SK텔레콤이 해킹 공격을 받은 사실을 법정 시한인 24시간을 넘겨 신고했다는 사실이 확인된 것도 신뢰에 타격이 되고 있다. 뿐만 아니라 SK텔레콤이 지나치게 경직된 대응으로 일관해 화를 키웠다는 비판도 적지 않다. 실제 유영상 SK텔레콤 최고경영자(CEO)가 직접 나선 25일 대국민 사과 기자회견에서도 SK텔레콤은 사고 원인 및 피해 가능성과 관련해 “조사 결과가 나와야만 알 수 있다”는 말만 되풀이했다. 통신업계 관계자는 “자칫 발언을 잘못하면 과징금 폭탄 등 SK텔레콤 주주에게 부정적 영향을 끼칠 상황을 우려했을 것”이라고 짚었다.

비판 여론이 커지자 SK텔레콤은 “유심보호서비스에 가입하고도 유심 불법 복제 피해가 발생했다면 100% 책임지고 보상하겠다”며 “이 서비스만으로도 해킹 피해를 막을 수 있으니 믿고 가입해달라”고 호소했다. 이어 유심보호서비스의 해외 이용 불가에 대해서도 “해외 로밍 고객도 이용할 수 있도록 다음 달 서비스를 고도화하겠다”며 “가입 절차를 간소화해 한 번에 서비스가 이뤄지게 하겠다”고 강조했다. 유심 재고 부족 문제도 언급했다. SK텔레콤은 “현재 유심 약 100만 개를 보유하고 있다”며 “5월 말까지 약 500만 개를 추가로 확보해 유심 교체 서비스를 철저히 준비하겠다”고 덧붙였다.

유심 교체가 근본 대책?

하지만 전문가들은 유심 교체 자체는 실질적 의미가 없다고 입을 모은다. 유심 교체는 즉각적인 위험 완화 조치일 뿐, SK텔레콤의 핵심 서버인 HSS(Home Subscriber Server)의 근본 보안 문제 해결 없이는 불안 요소가 여전하다는 것이다. 한 통신업계 관계자는 "HSS 서버가 해킹된 만큼 키를 바꾸는 건 의미가 없다"며 "서버 자체의 키체인 리셋만이 답이지만 엄청난 시간과 돈이 들어가므로 유심 교체를 해준다고 한 것"이라고 지적했다.

일각에선 유심보호서비스 역시 안전하지 않다는 의견도 적지 않다. 고객이 신청하면 서비스가 가입 또는 취소되는 구조로, 악의를 가진 해커라면 임의로 서비스를 탈퇴한 뒤 유심 정보를 불법 복제할 수 있어서다. 한 통신 전문가는 “이미 취득한 정보를 토대로 대리점 혹은 직원을 통해 서비스를 탈퇴한 뒤 복제폰을 만들어 공격할 수 있어 서비스 가입만으론 부족하다"며 “이용자 스스로도 주요 사이트의 비밀번호를 교체하고, 2단계 인증을 활성화하는 것을 병행할 필요가 있다"고 말했다.

LG유플 29만 명 털렸지만 '폰 복제' 피해 없어

다만 일부 보안 전문가 사이에선 공포감이 지나치게 확산된 측면이 있다는 지적도 나온다. 장항배 중앙대 산업보안학과 교수는 “유심 정보가 유출된 다른 개인 정보와 결합돼 악용될 우려가 전혀 없는 것은 아니지만 지금까지 밝혀진 유심 정보가 일부 유출된 것만으로 과도한 우려를 할 필요는 없다”고 말했다. 실제 2년 전인 지난 2023년 LG유플러스에선 가입자 29만여 명의 유심 일부 정보(가입자 휴대전화 번호와 고유번호)를 비롯해 이름·생년월일·주소·이메일 등이 함께 유출된 사건이 발생했지만, 이를 기반으로 복제폰(유출된 정보로 만든 유심이 들어간 폰) 피해가 따로 신고된 것은 현재까지 없다.

앞서 2022년 가입자의 휴대전화가 갑자기 먹통이 된 뒤 가상 자산을 도난당했다는 KT 가입자들의 피해 사례(약 40건)가 경찰에 접수된 뒤, 통신사들이 서울경찰청 사이버수사대와 협력해 통신망 관리 시스템(FDS)을 개발했었다. 이는 본인의 휴대폰과 같은 유심 카드 정보로 또 다른 복제된 단말기가 작동하면 복제된 단말기의 작동을 강제로 중단시켜 버리는 시스템으로 지금도 운영 중이다. 이번 SK텔레콤의 유심 정보 해킹으로 아직 피해가 발생하지 않는 것도 이 같은 시스템의 역할도 있을 것으로 보인다.

또 일부에서 제기되는 유심 정보 유출로 금융 계좌에 있는 돈을 손쉽게 빼낼 수 있다는 등의 우려도 과도한 불안감이란 분석이다. 김승주 고려대 정보보호대학원 교수는 “설사 복제폰이 만들어지더라도 전자금융거래에서는 금융인증서, OTP(일회용 비밀번호 생성기), 계좌 비밀번호 등이 모두 필요하기 때문”이라고 말했다.