[IT동아 한만혁 기자] 국내 가상자산 거래소가 자사 SK텔레콤(SKT) 이용 고객에게 계정 보안 강화를 당부했다. SKT 유심(USIM) 해킹 사고에 따른 2차 피해 예방을 위한 조치다. 거래소가 제시한 계정 보안 강화 방법은 거래소 계정 잠금 설정, SKT 유심보호서비스, 유심 비밀번호 설정 등이다.

SKT는 지난 4월 19일 악성코드로 인해 일부 고객의 유심 정보 유출 정황을 발견했다고 밝혔다. 유심은 이동통신 서비스 가입자의 이동가입자식별번호(IMSI), 단말기 고유식별번호(IMEI), 서비스 가입 정보 등을 저장한 장치다.

SKT는 유심 정보 유출 가능성 인지 후 해당 악성코드를 삭제하고 해킹 의심 장비를 격리 조치했다고 밝혔다. 또한 이용자 피해 예방을 위해 전체 시스템 전수 조사, 불법 유심 기기 변경 및 비정상 인증 시도 차단 강화, 피해 의심 징후 발견 시 즉각적인 이용 정지 및 안내 조치 강화 등을 진행했다. 현재 SKT는 한국인터넷진흥원(KISA)과 함께 구체적인 유출 원인, 규모, 항목 등을 조사 중이다.

SKT는 이번 해킹 사고로 IMSI, IMEI, 유심 인증키 등의 정보가 유출된 것으로 추정되며, 가입자 이름, 주민등록번호, 주소 등 개인정보는 유출되지 않았다고 밝혔다. 유심 정보 서버와 개인 정보 서버를 분리한 덕에 개인정보는 문제없다는 설명이다.

하지만 유심 정보를 복사해 다른 단말기에 설치하고 전화, 문자 메시지 등을 가로채 자산 탈취를 시도하는 ‘심 스와핑’ 등의 2차 피해 우려가 제기되고 있다. 이에 업비트, 빗썸, 코인원, 코빗, 고팍스 등 국내 주요 거래소가 공지를 통해 SKT 이용 고객에게 계정 보안 강화를 당부했다.

이들 거래소가 공통으로 안내한 계정 보안 강화 방법은 ‘계정 잠금 설정’이다. 계정 잠금 설정은 본인 외의 접속 시도나 흔적이 있는 경우, 자신의 계정에 접근하기 어렵거나 불가능한 경우를 위한 기능이다.

계정 잠금을 활성화하면 기존에 로그인된 모든 기기에서 로그아웃되고, 다시 로그인할 수 없게 된다. 또한 출금 요청, 신규 주문 등 주요 기능이 제한된다. 이를 통해 거래소에 보유한 자산 탈취 피해를 예방할 수 있다. 참고로 계정 잠금 서비스를 해제하려면 고객센터 등을 통해 본인 인증을 거쳐야 한다.

계정 잠금 설정 방법은 거래소마다 다르다. 업비트는 24시간 전담 콜센터로 연락한 후 신청한다. 빗썸은 PC의 경우 사이트 상단 본인 이름, 보안센터, 로그인 정보, 계정 잠금을, 모바일 앱에서는 메뉴, 더 보기, 고객센터, 보안센터, 계정 잠금을 차례로 클릭해 설정한다. 코인원은 고객지원, 계정 잠금을 선택하면 설정할 수 있다. 코빗은 새로운 환경에서 로그인 시 발송되는 이메일에서 계정 보호 잠금 메뉴를 이용한다. 직접 설정이 불가능한 경우에는 각 거래소 고객센터를 통해 요청해도 된다.

거래소들은 계정 잠금 설정과 함께 SKT 유심보호서비스, 유심 비밀번호 설정 등의 조치도 안내했다. SKT 유심보호서비스는 유심에 안심 기능을 설정해 무단 기기 변경을 차단하는 무료 제공 서비스다. 가입자의 유심을 다른 스마트폰에 넣어도 통화가 되지 않아 유심 무단 사용을 방지한다.

이외에도 빗썸은 유심 위변조 모니터링, 고객 계정 보안 등을 강화했다고 밝혔다. 복제폰으로 로그인 시도 시 본인 확인 후 서비스를 이용할 수 있는 시스템을 구축했으며, 로그인 성공 시 알림 메시지 발송, 유출 계정 모니터링, 해외 IP 접속 차단 등 고객 계정 보안 정책을 적용하고 있다.

거래소는 신뢰도 향상과 이용자 및 자산 보호를 위해 끊임없이 노력하고 있다. 최근 발생한 SKT 유심 해킹 사고와 관련해 거래소들이 선제적으로 대응 방안을 안내하고 보안 정책을 강화한 것도 이러한 노력의 일환이다. 거래소의 이러한 조치는 해킹 사고로 인한 2차 피해 예방에 기여할 것이다. 나아가 안전한 거래 환경 조성과 가상자산 산업 전반의 신뢰도 제고에도 긍정적인 영향을 미칠 것으로 기대된다.

IT동아 한만혁 기자 (mh@itdonga.com)