과기정통부·보안업계 유출된 유심 정보로 금융자산 탈취 불가능...'유심 공포' 실체는 없었다

"유심보호서비스 가입으로 2차 피해 충분히 막을 수 있어"
"복제폰 제작 성공한 최악의 경우 상정해도 금융권 보안 통과 어려워"

가입자 유심USIM 정보를 탈취당한 SK텔레콤이 유심 무료교체 서비스를 시작한 28일 서울 시내 한 SKT 대리점에서 시민들이 유심 교체를 위해 줄을 서 차례를 기다리고 있다 20250428사진유대길 기자 dbeorlf123ajunewscom — 가입자 유심(USIM) 정보를 탈취당한 SK텔레콤이 유심 무료교체 서비스를 시작한 28일 서울 시내 한 SKT 대리점에서 시민들이 유심을 교체하기 위해 차례를 기다리고 있다. 2025.04.28 [사진=유대길 기자 dbeorlf123@ajunews.com]

SK텔레콤 유심(USIM) 정보 해킹 사태로 인해 금융자산이 탈취될 수 있다는 우려는 사실이 아닌 것으로 확인됐다. 민관합동조사단이 조사한 결과 유출된 데이터에 개인을 특정할 수 있는 정보는 없었다. 전문가들은 복제폰을 만든다 해도 금융기관 추가 인증을 뚫을 방법은 없어 유심보호서비스 가입만으로도 개인정보 보호가 충분하다고 설명했다.

29일 과학기술정보통신부는 SK텔레콤 유심 정보 유출 사고와 관련해 민관합동조사단이 일주일간 조사한 결과 단말기 고유식별번호(IMEI)는 유출되지 않았다고 밝혔다.

가입자식별키(IMSI) 등 4종과 관리용 21종 관련 정보가 유출됐지만 유심보호서비스에 가입했다면 이번에 유출된 정보만으로는 유심 복제나 불법 사용(심스와핑)은 차단할 수 있다는 것이 조사단 측 판단이다.

민관합동조사단 관계자는 "유출된 정보는 서버 인증에 필요한 일종의 프로토콜로 보면 된다"며 "이용자 주민등록번호나 주소는 유출되지 않았다. 가입자 전화번호, IMSI 등 유심 복제에 활용될 수 있는 정보들은 유심보호서비스에 가입하면 문제가 없다"고 설명했다.

관련기사

그러면서 그는 "해당 사안과 관련한 개인정보 침해 여부 판단은 개인정보보호위원회 몫"이라고 덧붙였다.

보안 전문가들은 이날 발표 전부터 정보 유출 사태에 정치권까지 개입하면서 과도한 공포가 확산되고 있다고 우려하며 조사단이 신속하게 발표할 것을 촉구했다.

조사단 발표 전부터 학계를 비롯한 주요 보안 전문가들은 유심보호서비스에 가입했다면 이번 SK텔레콤 유심칩 해킹만으로는 심복제나 심스와핑을 통한 금융자산 탈취는 애초부터 불가능하다고 단언해왔다.

최근 한 이용자가 휴대전화 먹통 현상 이후 5000만원을 도난당한 사건은 스미싱 공격에 의한 것이며 이번 유심 정보 유출과는 관련 없는 것으로 확인됐다.

이성엽 고려대 기술경영전문대학원 교수는 "금융계좌를 해킹하려면 유심을 복제한 뒤 기기를 임의로 변경하고, 문자 등 각종 인증 절차를 거쳐야 한다"며 "이런 요건이 없는 상태에서 피해를 입었다는 것은 납득하기 어렵다"고 말했다.

그는 "유심보호서비스에 가입한 뒤 누군가 심스와핑 시도를 하려면 기존 휴대폰을 무력화하고 기기 변경 절차를 거쳐야 하는데 이 과정에서 해커가 직접 대리점에 가는 등 본인 인증이 필요하므로 오히려 더 많은 비용이 든다"고 덧붙였다.

4G·5G 네트워크는 보안성이 강하고 기기 변경을 위해서는 기존 휴대폰이 꺼져 있거나 비행기 모드 상태여야 해킹 공격이 가능하다. 사이버 공격자가 유심 카드를 복제했다고 마음대로 복제폰을 이용할 수 없다는 얘기다.

김승주 고려대 정보보호대학원 교수는 "금융거래 시 공동인증서, 일회용 비밀번호 생성기(OTP)를 활용하며 유심 정보만으로는 금융거래를 직접 수행하거나 신분증을 위·변조해 2차 피해로 확산하기 어렵다"고 말했다.

이어 "이동통신사 네트워크는 동일한 유심값을 가진 기기가 동시에 접속하려 할 때 이를 즉시 탐지하도록 설계돼 있다"며 "이용자가 유심보호서비스에 가입했다면 복제된 유심이 다른 단말기에 장착될 때는 차단이 가능하다"고 설명했다.

유출된 유심 정보만으로 휴대전화를 추가로 개통하는 것도 현실적으로 불가능하다. 조사단 발표에 따르면 주민등록번호 등 개인 신원을 확인할 수 있는 정보는 유출되지 않았다.

염흥열 순천향대 정보보호학과 교수는 "현재까지 해커가 할 수 있는 최악 상황은 복제 유심을 통한 복제폰 제작 정도지만 이 역시 유심보호서비스에 가입하면 문제가 되지 않는다"며 "휴대폰 가입을 위해 신분증 조회 등 대면 인증 등이 필요해 기술적으로 어렵다"고 분석했다.

유심 해킹 이후 금융권과 산업계는 SK텔레콤 유심 인증 차단에 나섰다. 이에 대해 보안업계는 불필요한 행위라고 해석했다.

한 보안업계 관계자는 "복제폰을 통해 금융정보가 유출될 가능성이 있다면 통신사 인증에 전적으로 의존할 수 없기 때문에 SK텔레콤 인증을 차단하는 조치가 필요할 것"이라며 "하지만 금융권도 이상거래탐지시스템(FDS)을 갖추고 있어 굳이 인증을 막을 필요는 없다"고 말했다.

김승주 교수는 "금융사마다 보안 수준은 다르다"며 "KB국민은행 등 일부 은행은 인증 차단 대신 추가 인증을 요구하는데, 유심이 복제되더라도 금융권의 여러 보안 장치로 인해 실제 보안이 뚫리는 사례는 거의 없다"고 말했다.

증권가 역시 SK텔레콤 해킹과 증권사 해킹 우려는 구분해야 한다면서 통신사에 유심보호서비스를 신청하면 기기 변경 시 정상 작동하지 않기 때문에 예방이 가능하다고 안내하고 있다.