[IT동아 김예지 기자] SKT가 지난 4월 19일 악성코드로 인한 유심(USIM) 해킹 사고로 고객 정보 유출 사태를 빚은 후, SKT 및 SKT망 알뜰폰 가입자 2500여만 명 고객을 대상으로 유심 무상 교체를 실시한다. SKT 고객은 4월 28일(월) 오전 10시부터 유심 및 이심(eSIM, 내장형 가입자 식별 모듈)을 무료로 교체할 수 있다.

유영상 SKT CEO는 25일 서울 을지로 SKT 사옥에서 고객 정보 보호조치 강화 설명회에 직접 참여해 사과하며, “SKT를 이용하는 모든 고객을 대상으로 원할 경우 유심카드를 무료로 교체해드리는 추가 조치를 시행하겠다”고 밝혔다. 또한 SKT 관계자는 “이번 사이버 침해 사고 원인을 규명하기 위한 조사는 한국인터넷진흥원(KISA)과 민관 합동으로 이뤄지며, 몇 주 또는 몇 개월이 걸릴 수도 있다”며, 이번 결정에 대해 “조사가 진행중인 만큼 불안을 느끼는 고객들의 걱정을 덜어드리기 위한 추가 조치”라고 덧붙였다.

유심 해킹, 2차 피해 우려 존재할까

유심에는 이동가입자식별번호(IMSI), 단말기 고유식별번호(IMEI) 등 민감 정보, 인증 비밀키(Ki), 서비스 가입정보가 포함된다. 주민등록번호나 주소 등 개인정보는 저장되지 않는다. SKT는 “이름, 주민등록번호, 주소 등 신상정보는 유출되지 않았으나, 구체적인 유출 범위 및 경로는 조사가 끝나는 시점에야 알 수 있다”고 말했다. 참고로, LG유플러스가 과거 IMSI 정보가 유출됐을 때, 전면 유심 교체를 시행한 바 있다. 이에 따라 이번에도 이동통신 가입자 정보를 관리하는 중앙 시스템에 저장된 이동가입자식별번호가 유출됐을 가능성이 크다.

일각에서는 국내 최대 가입자를 보유한 통신사임에도 불구하고 보안 사고를 24시간 내 신고하지 못한 점을 비롯해, 가입자가 관련 문자를 받지 못했을 정도로 초기 대응이 미흡했다는 점을 지적했다. 또한 “당장 드러나는 피해가 없더라도 최악의 경우 해커가 유심 정보를 이용한 ‘심 복제’, ‘심 스와핑(유심 정보를 이용해 복제폰을 만들어 해킹하는 행위)’을 시도해, 문자 메시지를 가로채거나 계정 비밀번호를 바꿀 때 휴대전화 2단계 인증을 가로챌 수 있다”며 우려를 표했다.

결국 유출 범위 및 경로에 따라 유심 정보를 활용한 2차 피해의 위험성이 존재하는 셈이다. 특히 지난 4월 14일 T머니(티머니) 정보 탈취 사건 이후 발생한 이번 유심 해킹이 티머니 정보와 결합해 2차 피해를 야기할 가능성도 있다는 의견이 존재한다.

유심 무상 교체 방법, 알뜰폰도 가능

이번 해킹 사고의 임시 대책으로는 유심의 완전 교체가 꼽힌다. 4월 28일부터 시작되는 유심 무상 교체는 전국 T월드(T World) 매장과 공항 로밍센터에서 이뤄진다. 4월 18일 자정 기준 가입돼 있던 SKT 가입자는 신분증을 지참해 1회 유심 교체할 수 있으며, 유심 일체형 내장 단말인 일부 워치 및 키즈폰 등은 제외된다. 또한 19일 이후 자비로 유심을 교체한 고객에게는 비용을 별도 환급 절차를 통해 비용을 받을 수 있다. SKT 망을 사용하는 알뜰폰 사업자의 고객도 무상 교체 가능하다. 환급 시기와 방법은 추후 공지될 예정이다.

그러나 고령층, 장애인 등 교통 불편 지역에 거주해 유심 교체에 어려움을 겪는 고객에 대해 SKT는 “향후 도서 벽지로 찾아가는 서비스를 고려 중이나, 전산 시스템이나 뒷단의 준비가 필요해 바로 시행하기에는 어려움이 있다”고 말했다.

유심 교체 시 스마트폰에서 유심을 교체하더라도 사용하던 사진, 게임, 앱 등 데이터 손실은 없으나, 공동인증서, 연락처 등 중요한 정보는 별도로 백업하도록 권장된다. 메신저 앱, 은행, 카드사 앱은 유심 변경 후 재등록 절차를 요구할 수 있다. 만약 번호이동으로 통신사를 변경하더라도 유심을 그대로 사용한다면 여전히 위험에 노출돼 있기 때문에 유심보호서비스에 가입하거나, 유심을 변경하는 게 가장 안전하다.

한편, SKT 가입자가 2500여만 명에 이르는 만큼 유심 공급에 대한 우려가 커지고 있다. 이에 SKT는 27일 최대한 유심 물량을 확보하겠다는 입장을 밝히며, “현재 약 100만 개의 유심을 보유하고 있다. 5월 말까지 약 500만 개의 유심을 추가로 확보할 예정이다. 출국자가 제일 많은 인천공항 측과 특별 협의를 거쳐 로밍센터 인력을 50% 더 늘려 서비스를 지원하겠다. 혹시 유심 교체를 받지 못하고 나간 고객이 해외에서 유심 불법 복제 피해를 입을 경우, SKT가 책임지겠다”고 덧붙였다.

SKT는 28일부터 전국 2600여 곳의 T월드 매장에 고객이 몰릴 것을 대비해 유심 무료 교체 예약 시스템을 운영한다고 밝혔다. 고객은 검색 포털, T월드 홈페이지 내 초기 화면 배너를 통해 예약 신청 사이트에 접속한 후, 휴대전화 본인 인증을 거쳐 교체 희망 매장을 선택하면 신청 가능하다. 인증에서는 성명·주민등록번호 앞자리·보안문자 번호·전화번호 등을 확인한다.

교체 희망 매장은 매장명 또는 주소 검색을 통해 선택하거나, 현재 예약가능한 매장을 필터링하여 선택할 수도 있다. 매장 검색 시 해당 매장의 위치, 영업시간, 연락처 등이 제공된다. 고객이 예약 신청한 후, 방문 날짜, 매장명, 매장 주소가 포함된 안내 문자가 예약 순서대로 발송된다. 예약 순서에 따라 매장을 방문하면, 현장에서는 신분증과 예약 확인 문자를 대조해 실물 유심 가입자 본인에게 새로운 유심을 전달한다.

한편, SKT는 다회선 보유 고객을 대상으로 회선 전체를 일괄 신청하는 기능도 마련했다. 시스템 내에서 한번만 신청하면 스마트폰, 태블릿, 워치 등 보유한 본인 명의 유심을 교체할 수 있다.

이심도 교체 가능…지원 모델·개통 시간 확인

이번 무상 교체는 물리적인 칩으로 제공되는 유심뿐만 아니라, 디지털 방식으로 제공되는 이심을 포함한다. 이심은 유심과 동일하게 기능하지만, 물리적인 칩의 유무만 다르다. 물리적인 유심을 따로 구매할 필요가 없기 때문에 매장 방문이 어렵지만 비교적 빠르게 교체하고 싶다면 이심이 대안이 될 수 있다.

기존에 유심을 사용해왔더라도 보유한 스마트폰이 이심을 지원하는 모델인 경우, 이심으로 교체할 수 있다. 기존 유심 사용자는 정보를 그대로 이심으로 옮겨올 수 있다. SKT 관계자는 “유심 및 이심 모두 무상 제공 대상자로, 기존 유심 고객이 이심으로 교체받거나, 이심 고객이 유심으로 교체받을 수 있다”고 말했다. 그러나 현재 이심은 NFC(짧은 거리에서 기기 간에 접촉 없이 데이터를 주고받는 무선 통신 기술) 기반의 서비스가 제공되지 않아 교통카드 사용이 불가한 점을 참고하자.

사용자는 앱 또는 웹사이트를 통해 교체하거나, 어렵다면 직접 매장을 방문해 도움을 받아 교체할 수 있다. 아이폰 XS를 포함해 이후 출시된 애플 휴대전화, 갤럭시 Z 플립4/Z 폴드4를 포함해 이후 출시된 삼성 휴대전화는 이심 사용이 가능한 모델이다. 만약 확인이 어렵다면 제조사 홈페이지 또는 통신사 홈페이지와 문의를 통해 확인해보자.

휴대전화 설정의 ‘셀룰러’, ‘SIM 카드 관리자’, ‘네트워크 및 인터넷’ 등에서 ‘eSIM을 추가’하거나, T다이렉트샵에서 SIM/자급제 메뉴의 ‘eSIM 셀프 가입’할 수 있다. SKT 기준 이심 셀프개통은 신규가입/기기변경의 경우 오전 8시부터 오후 8시, 번호이동의 경우 오전 10시부터 오후 8시까지며, 일요일과 공휴일은 휴무다. 인터넷 환경에서 QR코드를 다운로드 받아 활성화하는 방안으로 몇 분 내에 진행되나, 사용자가 이심으로 몰릴 경우 지연되는 경우도 고려해야 한다. 스마트워치는 고객센터로 추가 문의해 진행하며, 키즈폰, 노트북 등 일부는 이심 셀프개통이 불가하다.

유심 교체 외 추가 대처 방법은?

유심 교체 외에 추가 대처 방안으로는 ‘유심보호서비스’가 필수적으로 꼽힌다. 이는 유심에 안심 기능을 설정해, 사용자의 유심이 등록되지 않은 다른 단말기에서 통신 서비스 접속을 차단하는 기능이다. 2023년 서울경찰청 사이버수사대와 협력 과정에서 개발한 기술로, 알뜰폰 고객 및 이심 고객도 유심보호서비스로 보호받을 수 있다. 사용자는 114 고객센터 또는 앱에서 서비스를 가입할 수 있다. 또한 SKT는 디지털 취약 고객에는 직접 전화해 설명 및 가입을 안내할 예정이다. SKT는 “27일 18시 기준 총 554만 명이 유심보호서비스에 신규 가입했다”고 밝혔다.

유심보호서비스를 활성화할 경우 현재 해외 로밍이 불가하다. 이에 대해 SKT는 “오는 5월 안으로, 로밍 중에도 유심보호서비스 이용이 가능하도록 서비스를 고도화할 예정”이라고 밝혔다. 이에 따라 해외 출장 또는 관광을 가는 고객은 우선적으로 유심보호서비스에 가입 후 빠르게 유심을 교체하는 게 좋다.

SKT는 ‘비정상인증시도 차단(FDS, Fraud Detection System)’을 강화했다고 밝혔다. 이는 고객 유심 정보 악용을 막기 위해 보안 시스템 불법 유심 복제 또는 비정상 인증 시도가 감지될 경우 차단하는 기술이다. SKT는 “사실상 유심 교체와 동일한 효과를 지닌 비정상인증시도 차단 강화, ‘유심보호서비스’에 이어 유심 무료 교체서비스까지 더해질 경우, 더욱 안전한 고객 보호 효과를 기대할 수 있다”고 말했다.

한편, KT 등 다른 통신사 고객도 유심보호서비스를 운영하고 있다. KT는 “유심정보 암호화, 방화벽 강화 등 고객 정보 보안을 대대적으로 강화하고 있다”며, ▲유심보호서비스 ▲번호도용문자 차단서비스(인터넷에서 발송되는 스팸 및 스미싱 문자에 번호가 악용되지 않도록 방지) ▲정보보호 알림이(해킹, 바이러스 등 관련 정보를 문자로 알려주는 서비스)를 무료 제공한다고 밝혔다. 해당 서비스는 마이케이티 앱 또는 KT닷컴, 고객센터(100)에서 가입 가능하다.

추가적으로, 카카오뱅크 및 PASS 앱에서 제공하는 명의도용방지 서비스도 추가 조치 방법으로 꼽힌다. 또한 만약 개인정보 유출 여부가 불안한 사용자는 ‘털린 내 정보 찾기 서비스’를 통해 유출 여부를 조회할 수 있다. 아이디, 패스워드 등이 다크웹(개인정보 등 정보가 유통되는 추적불가한 웹) 등에서 계정 정보가 유통되고 있는지 여부를 확인하도록 함으로써 2차 피해를 방지하기 위한 서비스다.

이외에 사용자는 웹사이트 및 앱의 비밀번호를 변경하거나, 2단계 인증 설정 등 보안을 강화하고, 낯선 번호로 온 링크, 파일 등은 열지 않도록 각별히 주의한다. 당장 직접적인 피해가 없더라도 혹시 모를 2차 피해를 막기 위해 평소에 데이터 사용량 추이, 배터리 소모 추이를 살피거나 앱이 갑자기 강제 종료되는 경우 등을 살필 필요가 있다. 한편 휴대전화 설정에서 유심 잠금 기능을 활성화해 비밀번호를 설정해 두는 방법은 물리적으로 단말기를 잃어버릴 때 대비하는 용도로, 해킹과는 직접적인 연관이 적다. 또한 휴대전화 초기화도 해킹 피해 방지와는 무관하다.

이러한 조치에도 당분간 SKT 고객의 불안감은 커질 것으로 예상된다. 빠른 시간 내에 해킹 원인을 규명하고, 정보 유출 및 대응 절차 미흡에 대한 추가 조치 마련이 필요해 보인다. 유영상 SKT CEO는 “SKT는 고객의 신뢰를 최우선으로 생각하며 보안 체계를 더욱 강화하고, 고객 정보 보호 강화 방안도 마련해 나가겠다”며 “이번 사태를 통해 다시 한 번 기본에 충실하고 책임 있는 기업으로 거듭나겠다”고 밝혔다.

IT동아 김예지 기자 (yj@itdonga.com)