[성공예감] 쌍둥이폰 된다? 계좌 털린다? SKT 유심 해킹, 괴담 vs 사실 – 김승주 교수(고려대 정보보호대학원)

=======================================================
인터뷰 자료의 저작권은 KBS라디오에 있습니다.
전문 게재나 인터뷰 인용 보도 시,
아래와 같이 채널명과 정확한 프로그램명을 밝혀주시기를 바랍니다.
=======================================================

- SKT 유심 사태 대처, 유심보호서비스만으로도 국내선 충분
- 유심 정보만으로 금융 해킹 어려워
- 복제 유심도 유심보호서비스 가입하면 단말기 등록 차단
- 명의도용 차단 서비스도 이번 사건과 직접적인 연관 없어
- 발신번호는 114, URL은 포함 안 돼야 SKT 인증 문자... 스미싱 주의
- 사후 대응 부실, 매뉴얼 없었던 것이 큰 문제

■ 프로그램명 : 성공예감 이대호입니다
■ 방송 시간 : 5월 6일(화) 09:05-10:53 KBS 1R FM 97.3MHz
■ 진행 : 이대호
■ 출연 : 김승주 교수 (고려대 정보보호대학원)


◇이대호> 성공예감 이대호입니다. 아마 2부 이 이야기 듣다 보면 궁금하신 게 또 많이 생기실 거고 아마 또 화나시는 분들도 계실 텐데요. SK텔레콤의 유심 해킹 사태입니다. 그 파장이 지금 3주째 이어지고 있습니다. 일단은 100만 명 정도가 유심을 교체했다고 하고요. 거의 2000만 명 가까이 유심보호서비스를 가입했다고 하는데요. 과연 안심할 수 있을까요? 또 불안감은 여전한데 또 너무 과장된 정보도 많다고 합니다. 팩트 체크를 같이 한번 해 보시죠. 고려대학교 정보보호대학원 김승주 교수와 함께합니다. 안녕하세요, 교수님.

◆김승주> 안녕하십니까?

◇이대호> 외람됩니다만 혹시 교수님은 어떤 통신사 쓰고 계세요?

◆김승주> 저는 SKT에서 한 번도 바꿔 본 적이 없습니다.

◇이대호> 그래요? 그러면 이번에 어떻게 유심을 바꾸셨나요, 어떻게 대응하셨어요?

◆김승주> 유심보호서비스만으로도 현재로서는 충분하고요. 일단 신청은 해놨으니까 저는 제 차례 기다려서 천천히 유심 교체를 하려고 계획 중입니다.

◇이대호> 그런데 내 차례까지 아직 유심 교체 차례가 오지 않았다고 해서 발을 동동 구를 필요는 없다는 건가요?

◆김승주> 네. 일단 국내에 거주하고 있는 한 유심보호서비스만으로도 충분한 효과를 거두실 수 있고요. 문제는 해외에 나가시는 분들이세요. 왜냐하면 현재 유심보호서비스와 로밍 서비스가 동시에 작동되지 않습니다. 이렇게 동시에 작동되지 않는 이유는 로밍 서비스라고 하는 건 해외 기지국을 같이 공동으로 활용하는 서비스거든요. 그러려면 해외 기지국에서도 이 국내에 유심보호서비스와 연동시켜주는 그런 어떤 작업들이 필요합니다. 그래서 SK텔레콤은 그 작업도 5월 중에 마무리하겠다. 그래서 5월부터는 유심보호서비스와 로밍 서비스가 공동으로 동작되도록 하겠다, 이렇게 발표를 했습니다. 그런데 그렇게 될 때까지는 해외에 나가시는 분은 우선 유심 교체를 하시는 게 좋고요. 국내에 계시는 분은 유심보호서비스를 이용하시는 게 좋습니다. 또 얘기하시면 답답한 소리 하고 있네. 유심이 지금 없는데 어떻게 교체해, 이러실 수 있잖아요. 최신형 폰들은 e심이라고 하는 걸 지원합니다. 이게 임베디드 유심이래서 어떤 소프트웨어 형태의 유심이라고 생각하시면 됩니다. 그래서 T월드 SKT 홈페이지에 가보시면 현재 내 휴대폰이 e심 서비스를 지원하느냐 안 하느냐, 또 e심 서비스를 지원한다면 인터넷을 이용해서 어떤 식으로 교체할 수 있는가 이런 걸 상세히 안내해 놓고 있으니까 만약에 급박하게 해외에 나가신다면 그 e심 서비스를 이용하시는 것도 답일 수 있겠습니다.

◇이대호> e심이라는 건 또 최신형 스마트폰에서 구현이 되는 거다 보니까 이게 되는지 안 되는지는 또 사전에 좀 확인하실 필요도 있는 거고요. 우선은 이 질문을 좀 드려볼게요. 도대체 통신사를 왜 해킹하는 건지. 통신사를 해킹해서 진짜 스마트폰에 있는 정보를 다 빼가서 개인 정보를 맞춘 다음에 계좌 신규로 개설하려고 하는 건지, 새로운 휴대폰을 또 하나 개통하려는 건지. 약간 교수님은 관점을 좀 달리 볼 필요가 있다고 말씀하시더라고요. 어떤 이유에서입니까?

◆김승주> 제가 이거 처음 사고 났을 때 그때도 모 라디오 프로 나가서 너무 공포감이 지금 과장돼 있다. 이런 쪽으로 언론이 기사 방향을 몰고 나가면 좀 곤란하다, 이런 식의 얘기를 했던 적이 있습니다. 지금 우리 언론의 대부분은 유심 정보가 털리면 금융 계좌에서 돈을 탈취할 수도 있고 주식 거래나 어떤 가상자산도 문제가 있다, 이렇게 말씀들 하시잖아요. 그런데 일단 첫 번째로 말씀드리면 우리나라는 유심 정보 갖고 어떤 금융 거래를 하기가 그렇게 쉬운 나라는 아닙니다. 왜 그러냐 하면 일단 금융 환경 자체가 우리나라하고 외국이 굉장히 달라요. 외국은 아이디, 비번 뭐 이거 갖고 대부분의 일들을 하지만 우리나라에서는 5000만 국민이 투덜투덜대면서 쓰시는 공인인증서, OTP 그리고 각종 보안 프로그램들이 있습니다. 그래서 외국과 국내 환경은 다르기 때문에 유심 정보가 나갔다고 해서 이게 금융의 해킹과 이어지는 그런 거는 굉장히 가능성이 낮고요. 실제 우리나라 5대 은행들에서도 언론에서 인터뷰를 했죠. 그래서 우리는 굉장히 많은 보안 프로그램을 돌리고 있기 때문에 유심 정보로는 어떤 인터넷 뱅킹에 악영향을 미치지 못한다, 이렇게 발표하기도 했고요. 그리고 실제 국내 은행들 중에서는 SK텔레콤의 SMS 문자 인증 뭐 이런 것들을 중단시킨 은행들도 있지만 계속해서 그냥 쓰고 있는 은행들도 있습니다. 그만큼 유심 정보 유출 자체가 금융 해킹하고 이어진다고 과도하게 걱정하실 필요는 없고요. 외국에서도 지금 우리나라 통신사는 왜 이렇게 속절없이 당하는 거야, 뭐 이러면서 막 속상해하시는 분들이 계시잖아요. 그런데 수년 전부터 이 통신사 해킹은 계속해서 증가하고 있습니다. 가장 최근에 세계를 좀 떠들썩하게 했던 것이 2024년 8월 27일에 미국 워싱턴포스트지가 언론에 발표했던 사건입니다. 이건 뭐냐 하면 중국의 해킹 그룹으로 추정되는 단체가 미국의 최소 9개의 통신회사를 해킹했다. 그래서 여기서 당한 것이 AT&T, 버라이존, 티모바일 이런 데가 전부 다 털렸었고 이때 집중적으로 당한 해킹 대상자들이 대선 캠프에 있었던 이런 인사들이고 그중에는 도널드 트럼프 대통령하고 밴스 부통령도 포함돼 있었다. 그리고 이 사람들이 주로 노린 것은 통화 기록 정보. 여기서 통화 기록 정보는 우리가 보통 CDR이라고 얘기하고요. Call detail record라고 그래서 누가 누구랑 언제 통화했고 동선은 어떻게 되고 자주 통화하는 사람은 누구고 이런 어떤 목록이라고 보시면 됩니다.

◇이대호> 그 통화 기록 정보를 빼가서 뭘 하려는 걸까요?

◆김승주> 이런 어떤 통신회사가 중요한 타깃이 될 수 있다. 그리고 거기에 대한 상세 분석 보고서는 2019년에 한 번 나온 적이 있습니다. 사이버 리즌이라고 하는 보안업체에서 상세 분석 보고서를 올린 적이 있고요. 이때 이 2019년 보고서에서 이 회사가 뭐라고 얘기했냐 하면 일반적인 기업 해킹과는 다르게 통신회사에 대한 해킹은 금전적인 것을 목적으로 하는 것은 아니다. 보통 통신회사의 가장 중요한 정보가 통신 기록들인데 이 통신 기록을 해킹했을 경우에 누가 누구와 친한지, 동선은 어떻게 되는지 뭐 이런 것들을 볼 수 있고 더 심하게 해킹한다면 주고받은 문자 메시지 내용이 뭔지 뭐 이런 것들도 알아낼 수 있다. 그래서 실제로 중국의 해킹 조직이 이런 어떤 CDR 레코드, 즉 통신 기록을 해킹해서 위구르 소수 민족을 탄압하는 데 있어서 누가 이 사람들하고 친한지 이런 것들을 알아내려 했었다. 이런 보고서가 실제로 있습니다.

◇이대호> 약간 정치적인 노림수도 좀 있었던 걸로 보이고. 그런데 불안한 거는 그런 거죠. 통신사에서 빼낸 정보를 가지고 다른 개인 정보와 조합을 해서 금전적으로 경제적으로 안 좋은 일이 생기면 어떻게 하느냐, 그렇게도 표현을 비유하시는 분들도 있더라고요. 이번에 유심 정보가 해킹 당한 게 내 집의 현관문 비밀번호가 탈취된 거나 마찬가지다. 그러니까 내 집의 주소를 알아내면 조합 가능하다. 그래서 내 집을 따고 들어올 수도 있다, 이런 식으로 비유하더라고요. 맞는 건가요?

◆김승주> 제가 이 답변을 정말 많이 해서.

◇이대호> 제일 많이 궁금해하세요.

◆김승주> 오늘 또 하는데 이런 거죠. 교수님, 우리나라는 해킹을 되게 많이 당한 나라인데 최악의 경우를 가정하면 유심 정보와 기존에 나간 해킹 정보 개인 정보가 결합돼서 인터넷 뱅킹을 교란할 수 있지 않을까요? 질문의 요지는 대략 이런 겁니다. 그럼 제가 항상 거꾸로 어떻게 여쭤보냐 하면 그럼 최악의 경우를 제가 한번 가정해 보겠습니다. 그러면 제 공인인증서 털렸을 거고 제 공인인증서 비밀번호 털렸을 거고 OTP 카드 사진 나갔을 거고 인터넷 뱅킹에 로그인 아이디, 로그인 비밀번호가 다 유출됐을 겁니다. 만약에 그렇다면 그냥 그 정보로 계좌 이체를 하면 되지 왜 유심 정보를 추가로 노리겠습니까?

◇이대호> 그건 어떤 의미일까요?

◆김승주> 뭐냐 하면 우리나라 공인인증서와 공인인증서 비밀번호 그리고 여타 정보를 이미 다 갖고 있으면 굳이 폰을 복제할 필요가 없다는 얘기입니다. 그걸 가지고 인터넷 뱅킹에서 내가 마음대로 계좌 이체하면 되거든요. 그러면 또 그러시지요. 그럼 공인인증서까지는 안 나가고요. 그 개인 정보 정도 나가면 어떡할까요? 또 이렇게 물어보세요. 그럼 제가 그러면 주식 거래나 인터넷 뱅킹 중에 공인인증서랑 OTP 카드 안 쓰는 그런 계좌 이체가 있으면 저한테 좀 알려주십시오. 그래서 우리나라는 유심 정보 정도 나갔다고 그래서 계좌 이체로까지, 즉 금융 해킹으로까지 연결시킬 수는 없습니다. 이렇게 대답합니다.

◇이대호> 이번에 조금 보도가 많이 된 사례이기는 합니다만 부산 지역에서 휴대전화가 먹통 된 다음에 5000만 원이 이체된 사례가 있다, 이런 것도 보도가 많이 되지 않습니까?

◆김승주> 그것도 저한테 인터뷰 왔을 때 이거는 유심 정보 탈취하고는 상관이 없을 겁니다. 만약에 기사를 연계해서 쓰시면 오버가 될 수 있습니다. 말씀을 드렸었고 하지만 대다수 언론에서 기사는 나갔고요. 그러고 있다가 경찰청에서 발표 났죠. 이것은 유심 정보 탈취하고는 상관이 없고 스미싱 공격에 당한 거다.

◇이대호> 문자 메시지 URL 잘못 눌렀다가.

◆김승주> 부고 문자가 날아갔는데 그 URL을 눌렀고 그래서 그 휴대폰에 악성 코드가 설치됐었고 그것이 금전적 탈취까지 연계된 것이지 유심 정보 탈취하고는 상관이 없다, 이렇게 보도가 났습니다.

◇이대호> 일단 불안한 거는 사실이지만 여러 가지 개인 정보들을 조합한다고 해서 계좌 정보나 이런 걸 털어갈 수 있는 거는 또 아니라고 보시는 측면이고 정지웅님도 그렇고 지금 많은 분들이 그걸 제일 걱정하시는 것 같아요. 그러니까 비유를 좀 하자면 자전거 도둑이 뭐 자전거 본체 잠가 놓으면 바퀴만 빼가고 바퀴를 잠가 놓으면 본체를 떼 가고 안장도 떼가고 핸들도 떼가서 조합해서 자전거 한 대 만들 수 있는 거라는 거랑은 완전히 다른 개념이라고 봐야 될까요?

◆김승주> 왜냐하면 그 자전거 부품들이 다 통신사에 있다는 전제잖아요. 일단 이동통신사에는 공인인증서나 이런 게 없습니다. 보관 자체를 안 해요. 그러니까 많은 분들이 조금 착각하시는 것 자체가 공인인증서를 유심에 저장할 수 있는 그런 서비스가 있긴 합니다. 그런데 그건 내 휴대폰에 있는 유심에 저장하는 거지 이동통신사에 저장하는 게 아닙니다. 그래서 이동통신사가 털린다고 그래서 공인인증서나 OTP 카드 같은 정보가 나가는 건 아닙니다.

◇이대호> 조금 어렵기는 합니다만 민관 합동조사단이 1차 조사 결과 발표를 한 게 가입자 전화번호, 가입자 식별키 등 유심 복제에 활용될 수 있는 4종이 유출됐다고 밝혔어요. 그런데 이게 좀 어렵기는 합니다만 가입자 식별 키 IMSI는 이번에 유출이 됐는데 IMEI라고 하는 기기 고유 번호 뭐 단말기 고유 식별 번호는 또 유출이 안 됐다고 해서 이것까지 조합은 될 수 없다고 보는 측면이 있습니다만 이게 어떤 차이가 있는지 쉽게 설명 좀 해 주세요.

◆김승주> 일단은 IMSI 가입자 식별 번호는 그냥 로그인 아이디 같은 거라고 생각하시면 됩니다.

◇이대호> 그런데 이게 홍길동인지 이대호인지는 안 나와 있고 번호나.

◆김승주> 그게 일련번호입니다. 그런데 통신사는 그 일련번호가 누군지를 알고 있죠. 그래서 일단 일련번호는 일종의 아이디 같은 거라고 생각하시면 되고요. 인증키라고 하는 건 일종의 비밀번호라고 생각하시면 됩니다. 그다음에 아까 IMEI라고 하는 기기 식별 번호는 우리가 뭐 PC의 맥 주소 이렇게 얘기하듯이 그냥 기기에 부여된 일련번호입니다. 그래서 내가 휴대폰으로 통화하려고 그러면 기본적으로 내 휴대폰 유심에 있는 가입자 식별 번호 그다음에 인증키 값이 통신사로 날아갑니다. 그래서 통신사가 이 사람 아이디가 이거 맞아? 비밀번호 이거 맞아? 그것 확인합니다. 그다음에 내 휴대폰에 있는 기기 식별 번호가 또 날아갑니다. 그래서 기기 식별 번호 이거 맞아? 이거 블랙리스트에 오른 거 아니야? 이걸 확인합니다. 왜냐하면 분실된 휴대폰이 있을 수 있으니까. 그래서 이 3가지가 다 일치하면 통신이 연결되는 겁니다. 그런데 지금 SK텔레콤이 조사를 해봤더니 해커가 악성 프로그램을 심어서 아이디에 해당하는 가입자 식별 번호와 비밀번호에 해당하는 인증키는 털어갔다. 그런데 기기 식별 번호는 다른 서버에 저장했기 때문에 이건 못 털어갔다, 이렇게 얘기하고 있는 겁니다.

◇이대호> 그러니까 이게 우리가 온라인 사이트 여러 가지 쓰면서도 아이디와 비밀번호가 유출됐습니다라는 건 정말 많이 들어보지 않았습니까? 그런데 그것만으로 따로 문제가 생기지는 않듯이 이거 역시 마찬가지라고 보면 될까요? 그런데 예를 들어서 같은 거를 또 도용할 수는 있는 거죠. 예를 들어서 본인이 여러 가지 인터넷 사이트에 같은 아이디 같은 비밀번호를 썼을 때 문제가 될 수 있는 것처럼. 하지만 우리가 통신사를 또 여러 개 쓰는 거는 아니고 이거는 통신사별로 어떤 조합에 따라서 또 보관하는 것이지 않습니까?

◆김승주> 그러니까 보통은 가입자 식별 번호랑 인증키 값을 탈취하면 그 유심을 복제할 수가 있습니다. 우리가 심 클로닝 이렇게 얘기하고요. 뭐 언론에서는 심 스와핑이라고 얘기하지만 이건 틀린 용어입니다. 심 복제, 심 클로닝 이렇게 얘기해야 되고요. 유심을 복제하면 김승주의 유심이 또 하나 생기는 거죠.

◇이대호> 그걸 제일 걱정들 하시는 거지요.

◆김승주> 그렇지요. 그러면 김승주의 유심을 공기계에 꽂습니다. 공기계에 꽂으면 김승주한테로 날아가야 될 문자 메시지라든가 김승주한테 연결돼야 될 통화 같은 게 해커의 폰으로 연결되는 겁니다. 그리고 과금은 전부 다 저한테 청구되는 겁니다.

◇이대호> 그걸 제일 지금 걱정하는 거지요.

◆김승주> 그렇지요. 그런데 이 문제 때문에 SK텔레콤이 유심보호서비스라는 걸 내놨죠. 이 유심보호서비스는 뭐냐 하면 지금 김승주라는 사람은 이런 단말기 번호를 쓴다. 이게 통신사에 그 정보가 있습니다. 그런데 유심보호서비스에 가입하면 단말기를 변경 못 하게 하는 겁니다.

◇이대호> 그러니까 우리가 왜 기기 변경할 때 지금 되게 자유로워진 것처럼 내가 쓰던 유심만 다른 핸드폰에 꽂았다가 한 번 껐다 켜면 바로 여기에서 쓸 수 있게 되는 건데 그런데 유심보호서비스를 가입하면 그게 안 된다는 거지요?

◆김승주> 안 되는 거죠. 그래서 해커가 유심을 복제했다 하더라도 그걸 자기 공기계 같은 데 꽂을 거 아니에요? 꽂아봤자 이 단말기 번호는 등록된 게 아닙니다, 이러면서 차단된다는 겁니다.

◇이대호> 그래서 그 시도 자체를 원천 차단할 수 있는 게 유심보호서비스라는 거고 다만 그러면 유심보호서비스를 가입한 사람은 기기 변경을 할 때 좀 불편할 수는 있겠네요.

◆김승주> 그러면 유심보호서비스를 또 해제해야 되고 그다음에 또 기기를 바꾼 다음에 다시 또 유심보호서비스를 가입해야죠. 그래서 일단 국내에 계시는 분들은 유심보호서비스부터 먼저 가입하시고 그다음에 본인 순서가 오시면 신규 유심으로 교체해서 가입자 식별 번호와 인증키를 아예 새것으로 바꾸시기 바랍니다, 이렇게 얘기하는 겁니다.

◇이대호> 조금 시간은 걸리더라도. 다만 그사이에 유심보호서비스로 막을 수는 있다는 말씀이시고. 그러면 기기 변경을 할 때 유심보호서비스를 잠깐 해제했다가 다른 걸로 옮겨서 꽂고 전원 한번 껐다 켜는 사이에 어떤 문제가 발생할 확률도 있을까요?

◆김승주> 그렇게까지는 안 될 것 같고요. 왜냐하면 유심보호서비스를 해제하면서 다른 기기로 등록하는데 그사이에 시간이 사실 그렇게 길지는 않습니다.

◇이대호> 그러니까 이번에 또 하나 걱정들 하시는 게 핸드폰을 껐다 켤 때 문제가 될 수 있다.

◆김승주> 그건 왜 생기는 거냐 하면 보통 이런 일이 생기면 해외에서 사례를 쫙 검색하신 다음에 대응책 이러면서 그게 또 유튜브를 통해서 막 확산되잖아요. 많은 분들이 지금 유심보호서비스를 가입 안 했습니다. 그래서 아무튼 해커가 내 김승주라는 사람의 유심을 복제했고 그걸 자기의 공기계에 꽂아서 복제폰을 하나 만들었습니다. 김승주 명의의 폰이 2개가 되는 거죠. 많은 분들은 이런 상황에서 2개의 폰이 동시에 통신망에 연결된다고 생각하세요. 그런데 이렇게 되지는 않습니다. 이 2개 중에 하나만 연결됩니다. 그러면 지금은 김승주라는 사람이 폰을 계속 켜놨기 때문에 제 폰이 통신망에 연결돼 있겠죠. 이런 상황에서는 해커가 복제폰을 만들어도 이 복제폰이 통신망에 연결되질 않습니다. 그러니까 문자 메시지라든가 통화가 해커의 복제폰으로 가질 않죠. 보통 해커는 자기 것을 연결시키기 위해서 스미싱, 피싱 문자를 김승주라는 사람한테 보냅니다. 그래서 이러저러한 이유로 휴대폰을 잠깐 리부팅 해야 됩니다. 그래서 껐다 켜주십시오 해서 제가 껐다 켜는 그 순간에 해커가 자기 폰을 연결시키는 겁니다. 그러면 저한테 올 문자나 통화가 해커의 복제폰으로 가죠. 그래서 보통 해외에서 유심 복제가 발생했을 때 일반인들이 알아채는 방법 이러면서 나오는 게 1번, 내가 휴대폰을 리부팅하라는 그런 어떤 스미싱 문자를 받은 적이 있는가.

◇이대호> 그러니까 그냥 껐다 켰을 때 다른 사람이 내 차선으로 끼어드는 게 아니라 어떤 문자가 따로 온다는 거네요. 나를 일부러 휴대전화를 한번 껐다 켜도록 하게끔.

◆김승주> 그리고 2번이 나한테 한동안 하루 이틀 정도 전화도 안 오고 문자도 이렇게 안 온 그런 적이 있는가. 이런 걸 통해서 유심이 복제됐다를 확인할 수 있다, 이런 식으로 그 사례들이 나오거든요. 그걸 언론에서 또는 유튜브에서 옮기다 보니까 뭐 휴대폰을 껐다 켜지 마라, 이렇게 얘기가 나온 것 같습니다.

◇이대호> 그러면 나의 유심이 복제됐는지 그 여부를 알 수 있나요? 알 방법이 있나요?

◆김승주> 그냥 일반인들이 가장 많이 느끼시게 되는 건 아까 말씀드렸듯이 복제폰이 만들어져서 망에 연결이 되면 저한테 와야 될 문자나 통화가 전부 다 복제폰으로 가잖아요. 그러니까 내 휴대폰이 한참 울리다가 그냥 울리지도 않고 통화도 연결이 안 된다, 그러면 내 것이 복제됐구나 의심할 수 있고요. 또는 우리가 휴대폰이 만약에 복제되면 SMS 문자 인증을 우회할 수 있지 않습니까? 나한테 와야 될 문자가 복제폰으로 가니까. 그러면 SMS 문자 인증을 이용해서 가장 많이 할 수 있는 건 비밀번호 변경입니다. 그래서 내가 들어가는 포털 사이트나 뭐 이런 어떤 이메일 서비스 같은 데서 비밀번호가 변경돼 있더라, 나는 바꾼 적이 없는데. 그러면 내 유심이 복제된 것 같은데 복제폰이 만들어진 것 같은데 이렇게 한번 의심해 보실 수는 있을 것 같습니다.

◇이대호> 그런데 그거는 사후 나중에 알게 되는 걸 테고요. 하지만 유심보호서비스를 가입해 놓으면 일단은 복제가 안 되는 겁니까?

◆김승주> 복제가 안 됩니다. 왜냐하면 공기계에 복제된 유심을 꽂아봤자 기기 자체를 지금 변경 못 하게 만들어 놨기 때문에 불가능합니다.

◇이대호> 일단은 그것부터는 반드시 또 해 두셔야 된다는 거고. 그래서 SK텔레콤은 한 2300만 가입자 중에 2000만 명 가까이가 유심보호서비스를 지금 가입했다고 하는 거고요. 또 이거를 노린 스미싱도 기승이라 하더라고요. 여러분이 주문하신 유심이 도착했습니다, 유심을 받으시려면 아래 주소를 클릭하세요. 그거 조심하시라고 또 SK텔레콤에서 보도 자료를 냈더라고요.

◆김승주> 그래서 지금 SK텔레콤이 얘기한 건 SK텔레콤이 보낸 문자 메시지는 보낸 전화번호가 114입니다. 그래서 보낸 전화번호가 114가 맞는지 확인하시고요. 그다음에 SK텔레콤도 공식적으로 얘기했지만 SK텔레콤에서 이번에 유심 관련해서 보내는 문자 메시지에는 URL 즉 인터넷 주소가 첨부돼 있지 않습니다.

◇이대호> 그러니까 SK텔레콤입니다. 이번 사태 관련해서 보호받으시려면 이 URL을 접속하세요, 이거 다 가짜라는 거.

◆김승주> 그렇지요. URL이 첨부돼 있으면 다 가짜라고 보시면 됩니다.

◇이대호> 세상에 나쁜 사람이 왜 이렇게 많습니까? 또 하나가 유심 포맷도 대안으로 떠오르더라고요. 그러면 이거는 유심 교체가 아니라 유심 포맷만 하면 되는 건지 그리고 이거는 어떻게 되는 건지 또 그 유심 초기화라는 기능도 있긴 하던데 그거랑 뭐가 다른 건가요?

◆김승주> 이건 그냥 뭐 비슷하다고 보시면 됩니다. 그냥 유심 재활용 서비스라고 보시면 되고요. 지금 하드웨어 유심칩 자체가 지금 부족하잖아요. 그러니까 내 휴대폰에 있는 유심칩을 재활용하는 겁니다. 그래서 예를 들어 내가 대리점 가서 저 새로운 신규 유심칩을 주실 필요는 없고 제 폰에 유심칩이 이미 꽂혀 있으니까 이것을 포맷한 다음에 새로운 가입자 식별 번호랑 인증키를 여기 넣어주세요. 이렇게 요청하는 게 유심 포맷 유심 재활용 서비스입니다.

◇이대호> 마치 USB 메모리 카드를 포맷해서 쓰듯이 비슷한 겁니까?

◆김승주> 그렇지요. 그런데 이용자분들께서 댁에서 이걸 하실 수는 없고요. 일단 대리점은 방문하셔야 됩니다. 그리고 지금 이런 거 관련한 소프트웨어를 또 대리점에 보급해야 되기 때문에 SK텔레콤이 준비 중에 있는 것으로.

◇이대호> 당장 되는 거는 아니고. 그러면 유심 포맷을 할 수 있다면 굳이 유심 2000만 개 준비할 때까지 기다리지 않아도 되는. 그런데 그 효과는 똑같은 겁니까?

◆김승주> 그렇지요. 그런데 뭐 효과는 똑같은데 또 막연하게 있는 거 그냥 또 재활용한다고 그러면 또 찜찜해하시는 분들이 있을 수 있지요.

◇이대호> 저거 SK텔레콤이 예산 아끼려고 하는 꼼수 아니냐, 또 이런 비판도 있고.

◆김승주> 그런데 효과는 동일합니다.

◇이대호> 효과는 동일하다. 그런데 다만 유심 포맷하려면 대리점을 방문해서 시스템 매칭 작업을 해야 하고 그 소프트웨어가 대리점들에 다 전해지기까지는 좀 시간이 걸릴 수는 있다.

◆김승주> 그리고 지금 유튜브에서 되게 잘못 나오는 얘기 중에 하나가 유심에 핀 번호를 설정하세요, 뭐 이런 얘기도 또 되게 많이 나옵니다.

◇이대호> 유심에도 비밀번호가 있지 않습니까?

◆김승주> 네. 휴대폰에서 본인이 직접 비밀번호 설정하실 수 있거든요. 그런데 이 유심 핀 번호 설정 서비스, 유심 비밀번호 설정 서비스는 뭐냐 하면 예를 들어 제가 휴대폰을 놨는데 누군가 해커가 내 휴대폰에 물리적으로 접근해서 제 휴대폰에서 물리적으로 유심을 탈취해 갈 수 있지 않습니까?

◇이대호> 바늘 같은 거 꽂아서 유심 빼가는 거요?

◆김승주> 그렇지요. 이걸 막기 위한 겁니다. 그래서 유심 비밀번호를 등록해 놓으면 물리적으로 빼가도 이거를 공기계에 꽂을 때 비밀번호가 뭡니까? 물어보고 비밀번호 일정 횟수 이상 틀리면 유심이 잠겨버립니다. 그런데 이 유심 핀 번호, 비밀번호 설정 서비스는 이번 사태하고는 아무 상관 없습니다.

◇이대호> 그거는 말 그대로 휴대전화 자체를 도둑맞았을 때.

◆김승주> 그렇지요. 유튜브에서 그런 방송이 좀 나간 다음에 그거 설정하셨다 비밀번호 잊어버리셔서 벽돌폰 되는 경우가 꽤 있고 그 문의가 또 꽤 많이 들어오는 걸로 제가 알고 있습니다.

◇이대호> 네 자리 숫자.

◆김승주> 맞습니다.

◇이대호> 지금 이 사태 아니었으면 유심에도 비밀번호가 있다는 거 아마 대부분 모르셨을 거예요. 저도 찾아보니까 그냥 0000으로 돼 있더라고요. 그래서 그걸 바꿔놓기는 했습니다만 저도 그런데 그거는 물리적으로 이 유심을 잃어버렸을 때를 대비한 거다.

◆김승주> 바꿔 놓으셨으면 그것 잘 기억하셔야 합니다.

◇이대호> 또 하나 이거 잘못된 정보인데 하는 것들 또 있습니까? 이거 되게 많네요.

◆김승주> 그다음에 또 하나 명의도용 서비스를 가입하라 이런 얘기들이 있어요.

◇이대호> 명의도용 차단 서비스 저도 그거 패스 앱 통해서 하려다가 사람들이 너무 많이 몰려서 아직도 못하고 있어요.

◆김승주> 명의도용 차단 서비스는 예를 들어 여러 가지 일들을 할 때 김승주라는 사람의 명의를 신분증 확인도 하고 뭐 이럴 때 있잖아요. 그럴 때마다 이렇게 알림을 주는 겁니다. 그래서 이번 사건하고는 또 상관이 없습니다.

◇이대호> 그런데 어찌 됐든 간에 지금 이게 뭐 자라 보고 놀란 가슴 솥뚜껑 보고 놀란다고 할 수 있는 거 이참에 다 해놓자, 거의 이런 거 아닙니까?

◆김승주> 그러니까 명의도용 서비스도 그렇고 여러 가지 것들을 해놓으셔서 나쁠 건 없어요. 그러니까 뭐 저는 유심에 핀 번호도 설정돼 있고요. 명의도용 서비스 이런 것들도 지금은 안 하지만 예전에는 가입해서 사용했던 적도 있고 그렇습니다. 그런데 문제는 인터넷에 있는 서비스라고 하는 게 계속 무료일 수가 없거든요. 언젠가는 유료로 전환될 수도 있고 또 핀 번호 같은 이런 것들은 잊어버리시면 또 곤란할 수가 있거든요. 그래서 그때 했다가 유심에 핀 번호 설정했다는 걸 잊어버리시는 경우가 생길 수도 있어요. 그런데 나중에 그러다 보면 비밀번호 잠겨서 벽돌폰 된다거나 아니면 무료 서비스가 또 유료 서비스로 갑자기 바뀌어서 난처한 일을 당하실 수도 있거든요. 그래서 제가 조금 신중하게 서비스에 가입하실 필요가 있습니다, 이렇게 말씀드리는 겁니다.

◇이대호> 김학연님이 질문 주셨는데 휴대전화로 금융 거래 자체를 한 이력이 없거나 지금도 안 하고 있으면 큰 문제가 없나요? 이렇게 보내주셨는데 이거는 또 본인이 어떤 서비스를 어떻게 설정했느냐에 따라서 달라질 수 있겠지요.

◆김승주> 그렇죠. 그리고 웹 브라우저를 이용해서 PC를 이용하신다 하더라도 우리가 비밀번호 변경할 때는 휴대폰 SMS 문자 인증을 이용하는 경우가 있거든요. 그래서 유심보호서비스에는 가입해 두시는 게 좋겠습니다, 이렇게 얘기를 하는 겁니다.

◇이대호> 이게 사실 우리가 보안의 정도를 등급을 높이면 한쪽에서는 또 불편해지는 게 사실이고 어느 정도 또 불편함을 또 감수해야 하는 거고요. 또 이거 편리함과 보안의 등급을 또 우리가 바꾸는 경우도 굉장히 많지 않습니까? 이것도 우리가 더 신경을 좀 써야 될 테고. 일단 이번 SK텔레콤에서 빠져나간 그 정보가 9. 7㎇ 이게 문서파일로 환산하면 약 270만 쪽에 달한다고 합니다.

◆김승주> 그게 뭐 보통은 이렇게 많은 정보가 털렸으니까 다른 게 있는 거 아니야? 뭐 이러시는데 일단은 해커가 정보를 가져갈 때 그 근처에 있는 데이터까지 싹 다 그냥 가져갑니다. 그래서 일단 지금 공식적으로 확인된 그러니까 정부와 SK텔레콤과 또 여러 가지 보안 전문가들이 민관 합동조사단이라는 걸 꾸렸습니다. 여기서 공식적으로 발표되는 건 가입자 식별 번호 IMSI와 인증키 값 그리고 운영에 필요한 정보가 나간 겁니다. 그래서 일단은 그냥 알기 쉽게 가입자 식별 번호와 인증키 값만 지금 일단 나갔다, 이렇게 보시면 되고요. 그럼 이게 다냐? 그건 모릅니다. 왜냐하면 보통 이런 일이 딱 발생이 되면 그 안에 있는 서버들을 전수 조사합니다. 그래서 지금 통신사에는 가입자 식별 번호, 기기 식별 번호는 분리돼서 보관돼 있습니다.

◇이대호> 원래 그렇게 하도록 돼 있어 있나요?

◆김승주> 그게 음성망이냐 LTE망이냐 5G망이냐 뭐 이런 거에 따라 약간 다르긴 합니다만 일단 지금 문제가 된 시스템에 있어서는 IMEI 값과 그다음에 가입자 식별 번호는 분리돼서 보관돼 있고요. 그다음에 어떤 주민등록번호라든가 계좌번호 이런 것들도 다른 곳에 또 분리돼서 보관돼 있습니다. 그리고 아까 말씀드렸던 우리가 CDR 레코드라고 그래서 통화 기록 이런 것들 이런 것도 다른 곳에 보관돼 있습니다. 그래서 일단 전수조사를 하면서 어디까지가 털렸는지. 만약에 정보가 털렸다면 어떤 게 나갔는지 이런 것들이 구체화될 것 같습니다.

◇이대호> 김진희님이 머리 아프시다고. 어려운 전문 용어들도 많이 나오고 복잡하고 일단 또 한쪽에서는 속이 상하고. 김나경님은 저는 불안해서 통신사 이동했어요, 이렇게. 이런 방법을 또 택하시는 분들도 많고 또 이것 때문에 번호 이동 이렇게 해서 장려하는 대리점들도 좀 많이 나타나서 조금 이건 상도에 아니지 않나 이런 얘기도 있고 또 그렇게 해서 더 나은 쪽으로 가야 된다고 보시는 분들도 있고 지금 혼탁한 그런 또 영업 양태도 나타나고 있습니다.

◆김승주> 지금 많은 이용자분들이 불안해하시는 게 사실은 뭐 업체의 초기 대응이 약간 미스가 있었다. 그래서 그런 것 때문에 실망감도 있고 불안해하시는 면도 없지 않아 있습니다. 해킹을 당했다는 것만 가지고 업체를 나무랄 수는 없습니다. 왜냐하면 100% 완벽한 어떤 해킹 대응은 있을 수가 없거든요. 그래서 보통 해킹이 딱 발생하면 이 해킹에 사용된 기술이 어느 정도 고난도 기술이었는지를 분석합니다. 그런데 이게 정말 고난도 기술이라서 막는 건 불가항력이었다. 그러면 어느 정도 업체한테 면죄부를 주는 건 사실입니다. 그런데 이게 기존에 알려진 수법이라서 막을 수 있었는데 못 막았다, 이러면 업체한테 어느 정도 책임을 묻도록 돼 있고요. 그런데 이것보다 즉 해킹을 막았느냐 못 막았느냐 이거는 추후 조사 결과가 나와봐야, 그러니까 막을 수 있었는데 못 막았는지 여부는 조사 결과가 나와봐야 알겠지만 아주 실망스러운 건 사후 대응입니다. 보통 업체들은 해킹에 100% 완벽하게 대응할 수 없기 때문에 정보가 유출됐을 때 뚫렸을 때 어떤 식으로 대응해야 된다, 그 대응 매뉴얼을 만들어 놓습니다. 왜냐하면 내가 100% 완벽하게 해킹을 막을 수는 없지만 우리 회사에는 이러이러한 정보들이 있어. 그러면 이런 정보가 나갔을 때 대응, 이런 정보가 나갔을 때 대응, 이런 대응 매뉴얼은 미리 만들어 놓을 수 있거든요. 그런데 이번에 사후 대응을 보면 언론이나 정치인이 뭐라고 호통을 치면 찔끔 대책 나오고 또 뭐라고 호통치면 찔끔 대책이 나오고 이러니까 이용자분들은 이거 훈련 안 된 거 아니야? 이거 지금 내가 보호받고 있는 거 맞아? 이런 불안감을 느끼시는 거예요. 그래서 이런 어떤 사후 대응책 마련 이런 부분에 있어서는 좀 소홀하지 않았는가 이런 생각이 듭니다.

◇이대호> 이걸 다른 통신사뿐만 아니라 다른 대기업들도 똑같이 보고 타산지석 삼아야 될 테고요. 이번에 보니까 좀 한참 뒤에 나오긴 했습니다만 KT나 LG유플러스에서 자기네 유심을 좀 지원하겠다. 물론 과기정통부에서 먼저 요청하기는 했다고 합니다만 이게 그러면 통신3사 유심이 원래 호환이 가능한 겁니까?

◆김승주> 원래는 하드웨어 칩이니까 그 유심 노란색 칩이요. 그거는 표준 규격이 있습니다. 그래서 하드웨어 칩 자체는 그 규격에 따라서 나온다고 보시면 되고요. 그 유심 안에는 어느 국가냐 통신사는 뭐냐 그리고 일련번호가 들어갑니다. 보통 예를 들어 KT 대리점에 갔다 그러면 그 KT 대리점에서 파는 유심칩 안에는 한국 그다음에 KT 여기까지는 들어가 있는 겁니다. 그리고 나머지 일련번호 집어넣는 거거든요. 그런데 다른 이동통신사에서 우리 유심을 지원하겠다는 건 그 통신사 번호라든가 이런 것들 지우고 거기다 SKT라고 쓰고 서비스 가입자에게 제공할 수 있는 그런 협조를 하겠다, 그 얘기라고 보시면 됩니다. 질문하셨으니까 또 요새 유심칩이 품귀니까 그 칩 자체를 인터넷에서 구매하시는 분이 계세요.

◇이대호> 맞아요. 편의점에서도 파니까.

◆김승주> 그런데 그거 그렇게 함부로 구입하시면 안 되고요. 보통 편의점이나 이런 데서 파는 건 그 알뜰폰용 칩입니다. 그래서 그거 함부로 꽂으시면 알뜰폰 서비스로 그냥 바뀌는 겁니다. 그러니까 대리점에서 확인받으시고 하시는 게 좋습니다.

◇이대호> 이거 참 어려운 세상입니다. 조심해야 되는데. 다시 또 그럼 근본으로 올라가 볼게요. SK텔레콤에 누가 왜 악성 코드를 심었는지 이거는 아직 밝혀지지 않은 거죠.

◆김승주> 밝혀지지 않았죠.

◇이대호> 이거는 밝혀내는 데까지 굉장히 오래 걸리나요? 어려운 일인가요?

◆김승주> 쉽진 않습니다. 그러니까 지금 뭐 굉장히 답답하고 화도 나실 겁니다. 그런데 2023년에 IBM에서 분석 보고서를 내놓은 적이 있습니다. 여기서 내놓은 분석 보고서에 따르면 보통 해킹 사실을 발견하고 그 배후를 추적하는 데까지 평균 277일 정도가 걸린다.

◇이대호> 그렇게나 많이 걸려요?

◆김승주> 네, 그래서 꽤 오래 걸리는 일이고요. 또 이게 누가 배후에 있었냐까지는 밝혀지지 않는 경우가 되게 많습니다. 이게 왜 그러냐 하면 통신사 그것도 유심 정보가 들어가 있거나 통화 기록 같은 것들이 들어가 있는 컴퓨터 서버는 안쪽에 굉장히 중요한 것들 모아놓는 지역에 들어가 있습니다. 그래서 보통 통신사의 유심 정보가 털렸다 그다음에 뭐 CDR 레코드 통화 기록이 털렸다는 건 굉장히 오래전부터 해킹을 시도했을 가능성이 굉장히 높습니다. 그 얘기는 흔적이 삭제됐을 가능성도 존재한다는 거거든요.

◇이대호> 그러니까 이번에도 모든 흔적을 다 지우고 간 것 아니냐 또 이런 이야기가 나와요.

◆김승주> 그거는 좀 두고 봐야 됩니다. 아까 제가 처음 서두에 미국 통신사들도 최소 9개가 해킹됐다, 이렇게 말씀드렸잖아요. 여기도 보고서에 따르면 최소 1년 전부터 해킹을 당해서 정보를 계속 뽑아오고 있었다.

◇이대호> 그런데 그것을 미국의 통신사들도 모르고 있었다, 이거고요.

◆김승주> 그렇지요.

◇이대호> 그러니까 도둑이 들어왔는데 발자국 다 지우고 지문 다 지우고 문 다시 잘 잠그고 나가고 거의 그런 겁니까?

◆김승주> 그러니까 보통 우리가 정말 우수한 해커는 흔적, 나간 흔적, 들어왔던 흔적 이것도 다 지우기 때문에 배후를 쫓기가 되게 어렵다, 이렇게 얘기하는 겁니다.

◇이대호> 어떻게 보면 아까 예를 들어서 통신사가 됐든 그 회사가 보안을 100% 다 할 수는 없고 해킹을 100% 다 막을 수는 없다, 그 말씀에 어떻게 보면 화나신 분들도 좀 글을 올려주고 계시는데 약간 그런 겁니까? 사람들이 못 넘어오게 하려고 담장을 한 10m짜리 세우고 아니면 더 높이 세우자 해서 100m짜리 담장을 세웠는데 헬기를 타고 넘어오더라, 이러면 또 어쩔 수 없는 이런 개념입니까?

◆김승주> 그런 거죠. 그런데 그거보다는 예를 들어서 우리가 보안하는 사람들이 얘기하는 것 중에 제로데이 취약점이라는 게 있습니다. 제로는 숫자로 0, 데이는 1 할 때 하는 그 데이입니다. 제로데이 취약점이라고 하는 건 뭐냐 하면 현재까지 듣도 보도 못한 해킹 수법이라고 보시면 됩니다.

◇이대호> 완전 새로운 기술로.

◆김승주> 완전 새로운 거예요. 그러니까 이런 거는 감당하기가 굉장히 어렵습니다. 그래서 많은 업체들이 일단은 기본 출발점을 알려진 공격들에는 대응한다. 그리고 서로 제로데이 취약점, 즉 듣도 보도 못한 해킹 기법 해킹 공격이 있을 수도 있으니까 이걸 대비해서 보관하는 서버들을 최대한 분리한다. 뭐 이런 원칙을 갖다가 적용하고 있기는 합니다.

◇이대호> 그래서 또 화이트 해커들과 함께 계속 취약점을 발견하려고 같이 또 모의 테스트 해 보고.

◆김승주> 그러니까 애플 같은 경우에는 아이폰과 관련한 제로데이 취약점, 즉 듣도 보도 못한 해킹 기법을 알려주면 애플 같은 경우에는 최대 100만 달러까지 지급합니다.

◇이대호> 그러니까 우수한 해커들을 통해서 기술적 취약점을 더 발견하려고 노력을 또 하고 있는 거고. 마지막으로 이 방송 들으시는 분들을 위해서 당장 이것만큼은 개인적으로 보안을 더 신경 쓰십사라고 당부할 만한 건 또 어떤 게 있을까요?

◆김승주> 일단은 유심보호서비스 일단 이거 가입해 두시고요. 그다음에 순서가 오시면 유심 신규로 교체하셔야 되고요. 그다음에 아까 잠깐 말씀드렸지만 SKT에서 오는 문자는 114번으로 시작한다거나 또는 인터넷 주소가 아예 첨부돼 있지 않습니다. 그리고 요새 뭐 스마트폰 해킹 같은 것들이 굉장히 이슈가 되고 있습니다. 그런데 우리나라가 조금 잘못하고 있는 게 있어요. 뭐냐 하면 외국에서는 벌써 수년 전부터 SMS 문자 인증을 사용하지 말라고 권고하고 있습니다. 이 이유는 뭐냐 하면 SNS 문자 인증을 해킹하는 방법은 지금처럼 유심 정보를 해킹하는 것 외에도 너무 많은 방법이 있습니다. 그래서 외국 정부는 벌써 5, 6년 전부터 SMS 문자 인증을 사용하지 말라고 권고하고 있고요. 그래서 외국은 주로 쓰는 것이 앱 스토어 보시면 구글OTP, MS어센티케이터라고 하는 앱들이 있을 겁니다. 이거는 쉽게 얘기하면 소프트웨어 형태의 일회용 비밀번호 생성기라고 보시면 됩니다.

◇이대호> 왜 네이버, 카카오 인증, 패스 인증 이것도 비슷한 겁니까?

◆김승주> 패스 인증이 그거랑 비슷한 거죠. 그래서 그런 구글OTP라든가 MS어센티케이터 같은 것을 깔아서 그걸 주로 활용하시는 게 좋습니다. 보통 암호화폐 거래소라든가 이런 어떤 우리 많이 쓰는 SNS 같은 거 있지 않습니까? 그런 것들은 대부분 이 2가지 앱들을 지원합니다.

◇이대호> 이거는 정책적으로 좀 달라질 필요가.

◆김승주> 우리 정부도 좀 그렇게 할 필요가 있죠.

◇이대호> 입체적으로 오늘 들어봤습니다. 조금 어렵기는 했습니다만 제도적으로도 또 기업도 그렇고 나 스스로도 그렇고 다 같이 또 노력을 해야겠네요. 고려대학교 정보보호대학원 김승주 교수와 함께했습니다. 고맙습니다.

◆김승주> 감사합니다.