이용자만 약 2300만 명에 달하는 이동통신기업 SKT의 유심(범용가입자식별모듈) 정보 유출로 가입자의 불안이 좀처럼 가라앉지 않고 있는 가운데 전화번호와 단말기 교체로는 의미가 없다는 주장이 나왔다.
SKT는 지난 19일 자사 뉴스룸을 통해 악성코드 공격을 받아 가입자 유심 정보 일부가 유출됐다고 밝혔다. 공격 받은 시스템은 가입자의 정보와 네트워크 접속 시 인증 정보를 관리하는 HSS(홈 가입자 서버)를 포함한 총 3개 서버다. 이중 HSS서버에는 유심 시리얼 번호ᐧ가입자 계정 식별 번호ᐧ유심 인증키 등 타인이 유심을 복제할 수 있는 정보가 들어있어 논란이 일고 있다. 비어 있는 유심에 유심 인증키 등 정보를 입력하면 기존 이용자와 같은 번호를 가진 ‘복제 휴대전화’를 개통할 수 있다.
불안감이 확산되자 SKT는 전체 이용자에게 유심 보호 서비스를 제공하고 원하는 고객에 한해 유심을 무상으로 교체하기로 했다.
유심 보호 서비스는 유심과 휴대전화 단말 기기를 하나로 묶어 임의로 기기변경을 하지 못하도록 하는 서비스다. 해당 서비스를 이용하면 유심을 복제한 제3자가 공기계에 복제 유심을 넣어 개통하려고 해도 정상 작동하지 않는다. 다만, 해외에서는 이용할 수 없어 직접 피해를 막으려면 핵심 정보인 ‘유심 인증키’가 들어있는 유심 자체를 변경해야 한다.
그러나 29일 기준 시중에 풀린 유심의 개수는 100만 개로 이용자 수에 비해 턱없이 부족해 유심 교체에 차질을 빚고 있다. SKT는 뉴스룸을 통해 “5월 말까지 약 500만 개의 유심을 추가 수급하겠다”고 밝혔다.
전례 없는 개인정보 유출 사태에 SNS 등에선 “SKT 유심 보호 신청을 했는데도 뚫렸다”, “유심을 교체해도 소용 없다. 제일 좋은 건 폰 교체” 등 실체 없는 정보가 돌아 혼란이 가중되고 있다. 특히 유심을 교체해도 의미 없다는 주장이 힘을 얻고 있다.
X(구 트위터)의 한 사용자는 “유심을 바꾼다고 해도 다 털어갔으면 유심 교체는 소용없다”라며 휴대전화 기기를 교체해야 한다고 주장했다. 해당 글은 326만 조회수를 기록하고 10만 5000회 공유됐다.
이처럼 유심교체를 두고 혼란이 커지자 전문가는 전화번호와 단말기 교체 보다는 유심을 바꿔야 한다고 강조했다.
윤인수 카이스트 전기·전자공학부 부교수는 "유심 보호 서비스가 국내에서 발생하는 유심 복제 공격을 대부분 차단할 수 있기 때문에 현재로선 가장 현실적이고 효과적인 방어수단"이라며 "반드시 유심 보호 서비스를 신청해야 한다"고 말했다. 그러면서도 "결국에는 유심을 바꿔야 한다"고 덧붙였다.
그는 "유심 복제에 이용되는 정보는 유심 안에 들어있는 '유심 인증키'"라며 "내부에 들어있는 유심 인증키가 바뀌지 않는 이상 전화번호나 휴대전화 기기를 교체하는 일은 아무런 의미가 없기에 우선 유심 보호 서비스를 신청하고 여건이 될 때 유심 교체하는 것을 권고한다"고 설명했다.
과학기술정통부 또한 29일 SKT 해킹 사고 관련 1차 조사 발표에서 “이번 침해 사고에서 단말기 고유식별번호(IMEI)는 유출이 없는 것을 확인했다”고 했다. 과기정통부는 “현재 SKT가 시행 중인 유심 보호 서비스에 가입하면 유심 복제 행위가 방지됨을 확인했다”며 “유심 교체에 상응하는 예방 효과를 가진 유심 보호 서비스 가입을 권장한다”고 밝혔다.