SKT, 초유의 유심정보 유출...문제는 2차 피해 후폭풍

심(SIM) 스와핑 후, 게임 아이템 가로챌 수도
이번 데이터 유출로 인한 2차 피해 가능성도 우려된다. 유심은 통신망에서 가입자를 식별하는 식별 정보를 담고 있다. 그 자체로 개인정보라 하긴 어렵다. 하지만 통신사는 유심 정보와 연결되는 사용자 전화번호와 이름 등 개인정보를 갖고 있다. 만에 하나 다른 시스템도 공격당했다면 파급이 클 수 있다.

유심 정보를 다른 유심에 복제하는 심 스와핑 공격의 현실화가 가장 우려되는 문제다. 대포폰이나 대포 차량 구매에 악용될 수 있다. SMS를 통한 휴대폰 본인인증이 무력화돼 금융 앱 등을 통해 다른 사람의 돈을 가로챌 수도 있다. 기기정보를 수집하는 모바일 앱의 경우, 심 스와핑 공격으로 단말기식별번호(IMEI) 등 기기정보를 변경해 공격할 수 있기 때문이다. 소액 결제로 게임 아이템을 사고 팔며 해커가 현금화를 시도할 수도 있다.

심 스와핑으로 얻은 모바일 정보를 기반으로 사용자의 직장 로그인 정보 등을 추정해 기업 네트워크로 공격을 확장할 수도 있다. 2022년 마이크로소프트와 엔비디아 등을 해킹한 랩서스도 심 스와핑을 주요 공략 수단으로 사용했다.

심 스와핑은 전용 장비가 필요하긴 하나, 일반 통신사 대리점에도 널리 설치돼있는 흔한 장비다.

내 정보 보호하려면?
SKT는 해킹 사실 인지 후 불법 유심 기변 및 비정상 인증 시도 차단 활동을 강화하고 있다. 또 피해 의심 징후를 발견하면 즉각 이용 정지 및 안내 조치를 하고 있다.

사용자는 SK텔레콤 홈페이지와 T월드에서 유심 보호 서비스를 무료 이용할 수 있다. 이를 이용하면 다른 기기에 유심을 꽂으면 기기가 작동하지 않게 할 수 있다. 또 갑자기 통화가 안 되는 등 휴대폰이 동작하지 않아 유심 복제가 의심될 경우 신속하게 금융사나 통신사에 신고해야 한다.

이와 함께 금융 서비스에서 기기정보 변경이 일어날 경우 추가 인증을 요구하거나 모니터링을 강화하는 등 서비스 제공자측 대비도 필요하다는 지적이 나온다.

하지만 스마트폰이 아니라 태블릿PC나 자동차 등에 네트워크 연결 기능을 제공하기 위해 삽입된 유심은 이런 방식으로 문제를 해결하기 어렵다. 이런 기기는 교체가 불가능한 구조인 경우도 많다.