현재까지 알려진 탈취 정보로는 심스와핑 어렵다는 것이 중론
심스와핑이 발생해도 피해자의 이메일, 카카오톡, 은행 계좌 정보 등 없으면 추가 범죄 어려워
[보안뉴스 원병철 기자] SK텔레콤 해킹으로 고객 개인정보가 유출된 사건이 발생한 지 벌써 2주의 시간이 흘렀다. 하지만 SKT의 명확하지 않은 대응과 출처를 알 수 없는 정보가 떠돌면서 2500만명의 SKT 가입자가 불안한 하루하루를 보내고 있다. 이에 <보안뉴스>는 Q&A를 통해 피해자들이 가장 궁금해할 사항을 짚어 봤다.
[자료:gettyimagesbank]
Q. 이번 사건으로 유출된 정보는 어떤 것들인가?
과학기술정보통신부가 4월 29일 발표한 1차 조사 결과에 따르면, 가입자의 전화번호와 가입자 식별번호(IMSI) 등 유심(USIM) 복제에 활용될 수 있는 4종과 유심 정보 처리에 필요한 SKT 관리용 정보 21종이 유출됐다. 다만 그간 알려진 바와 달리 단말기 고유식별번호(IMEI) 유출은 없는 것으로 확인됐다. 이 때문에 SKT의 유심보호서비스에 가입하면 심스와핑을 막을 수 있다고 설명했다.
Q. 유심보호서비스란 무엇인가?
유심보호서비스는 사전에 고객이 사용하던 단말기가 아닌 다른 단말기에서 고객 명의로 통신 서비스를 접속하는 경우 이를 차단하는 서비스다. SKT는 이에 대해 유심과 단말을 하나로 묶어서 관리하는 서비스라고 설명한다.
원래 핸드폰을 개통하려면 핸드폰에 유심을 넣어야만 개통할 수 있었다. 하지만 2010년 유심제도가 개편되면서 3G 단말기의 유심부터 ‘유심 단독 개통’이 가능해지고, 사용하고 싶은 다른 기기에 유심을 끼워 사용할 수 있게 됐다. 해외에서 유심만 구입해 국내 휴대폰을 쓸 수 있게 된 것도 이때다.
유심보호서비스는 <보안뉴스>가 단독 보도했던 2022년 KT 심스와핑 사건 이후 부각된 서비스다. 앞서 설명했던 것처럼 당시에는 사용하던 유심을 그대로 다른 휴대전화(공기기)에 꽂으면 ‘유심 기변(유심 기기 변경)’이 이뤄져 단말기를 그대로 사용할 수 있었는데, 이때 해커가 복제 유심을 통해 기기 변경을 일으킨 후, 복제 휴대전화를 만들어 사용자의 금품(암호화폐)을 탈취했다.
보안 전문가들은 유심보호서비스가 가입자 식별번호(IMSI)와 단말기 고유식별번호(IMEI)를 함께 매칭한 후 관리하기 때문에, 유심보호서비스를 사용한다면 해커가 복제 유심을 만든다 해도 IMEI를 다른 휴대전화에 꽂으면 통신이 이뤄지지 않는다고 설명한다. 이 때문에 과기정통부도 1차 조사결과 발표에서 유심보호서비스에 가입하면 심스와핑을 방지할 수 있다고 발표한 것이다.
Q. 유심보호서비스에 가입했다면 유심을 교체하지 않아도 될까?
SKT는 유심보호서비스가 유심 교체와 동일한 보안 효과를 가진다고 설명한다. 아울러 FDS와 유심보호서비스 외에 추가 안전장치를 원하는 고객에게는 유심 교체를 제공한다고 덧붙였다. 현재 SKT가 고객 보호조치로 내세운 것은 ①비정상인증시도 차단(FDS: Fraud Detection System) ②유심보호서비스 ③유심 교체다.
FDS는 비정상 인증 시도 차단 시스템 혹은 부정 거래 탐지 시스템이라고 부른다. 사용자의 평소 거래 패턴이나 다른 이상 징후를 감지해 거래를 차단하는 이 시스템은 원래 금융권에서 사용됐으며, 모바일 간편 결제 시스템 등장 이후 통신사에서도 활용하기 시작했고, 심스와핑 사건 이후 통신 서비스에도 적용된 것으로 알려졌다.
통신 서비스에서는 불법으로 복제된 유심으로 통신망 인증 시도를 할 경우 실시간으로 모니터링하고 차단한다. 다양한 보안 로직을 적용해 비정상적인 인증을 모니터링 하는데, 예를 들면 고객이 서울에 있는데 부산에서 위치 등록 신호가 잡히는 경우 비정상으로 판단해 인증을 차단하는 방식이다.
SKT는 불법 복제 유심이 만들어지더라도 SKT 통신망에 접속할 수 있는 것이 아니며, FDS와 같은 보안 시스템이 통신망을 보호하고 있다고 강조했다. 또한 심스와핑에 성공했다 하더라도 금융거래에 필요한 개인정보나 비밀번호 등이 없으면 추가적인 범죄나 금융자산 탈취 등은 할 수 없다고 강조했다.
Q. 유심 복제가 이뤄지면 기존 스마트폰의 다른 정보도 복제될까?
이번 SKT 해킹 사건으로 탈취된 정보는 가입자를 식별하고 인증하기 위한 유심 정보로, 연락처, 문자, 휴대전화 앱 등의 정보는 이번 사건과 관련이 없다는 게 SKT의 입장이다.
다만 이번 사건과 관련한 조사가 모두 끝나지 않았고, 유영상 SKT 대표 역시 4월 30일 국회 청문회에서 “최악의 경우 전 가입자의 정보 유출을 가정해 준비하고 있다”고 밝힌 만큼 안심할 수 없는 상황이다.
Q. 그럼 심스와핑이 일어나면 발생할 수 있는 피해는 뭘까?
심스와핑은 ‘복제 유심’을 다른 휴대전화에 넣어 ‘피해자 정보’로 ‘기기 변경’을 함으로써 다른 피해를 만들 수 있는 준비 단계라 할 수 있다. 특히 우리나라는 휴대전화를 기반으로 문자나 ARS, 앱 등의 ‘인증’을 하는 경우가 많아, 복제 휴대전화가 만들어지면 문제가 커질 수 있다. 실제로 2022년 발생한 심스와핑 범죄에서 해커들은 복제 휴대전화로 이메일, 카카오톡, 마이크로소프트(안드로이드), 삼성전자(휴대전화) 등의 계정을 탈취한 뒤 이를 바탕으로 암호화폐 거래소의 계정 정보까지 탈취했고, 결국 암호화폐를 탈취하는데 성공했다.
물론 현재까지 알려진 상황에서는 심스와핑이 발생할 확률은 거의 없다고 할 수 있으며, 설사 심스와핑이 일어난다고 해도 피해자의 이메일, 카카오톡, 은행 계좌 정보 등이 없으면 추가 범행이 어려운 것이 사실이다. 아울러 SKT가 이번 사건으로 발생한 피해를 100% 책임지겠다고 한 만큼 크게 걱정할 필요는 없어 보인다.
[원병철 기자(boanone@boannews.com)]
심스와핑이 발생해도 피해자의 이메일, 카카오톡, 은행 계좌 정보 등 없으면 추가 범죄 어려워
[보안뉴스 원병철 기자] SK텔레콤 해킹으로 고객 개인정보가 유출된 사건이 발생한 지 벌써 2주의 시간이 흘렀다. 하지만 SKT의 명확하지 않은 대응과 출처를 알 수 없는 정보가 떠돌면서 2500만명의 SKT 가입자가 불안한 하루하루를 보내고 있다. 이에 <보안뉴스>는 Q&A를 통해 피해자들이 가장 궁금해할 사항을 짚어 봤다.
[자료:gettyimagesbank]
Q. 이번 사건으로 유출된 정보는 어떤 것들인가?
과학기술정보통신부가 4월 29일 발표한 1차 조사 결과에 따르면, 가입자의 전화번호와 가입자 식별번호(IMSI) 등 유심(USIM) 복제에 활용될 수 있는 4종과 유심 정보 처리에 필요한 SKT 관리용 정보 21종이 유출됐다. 다만 그간 알려진 바와 달리 단말기 고유식별번호(IMEI) 유출은 없는 것으로 확인됐다. 이 때문에 SKT의 유심보호서비스에 가입하면 심스와핑을 막을 수 있다고 설명했다.
Q. 유심보호서비스란 무엇인가?
유심보호서비스는 사전에 고객이 사용하던 단말기가 아닌 다른 단말기에서 고객 명의로 통신 서비스를 접속하는 경우 이를 차단하는 서비스다. SKT는 이에 대해 유심과 단말을 하나로 묶어서 관리하는 서비스라고 설명한다.
원래 핸드폰을 개통하려면 핸드폰에 유심을 넣어야만 개통할 수 있었다. 하지만 2010년 유심제도가 개편되면서 3G 단말기의 유심부터 ‘유심 단독 개통’이 가능해지고, 사용하고 싶은 다른 기기에 유심을 끼워 사용할 수 있게 됐다. 해외에서 유심만 구입해 국내 휴대폰을 쓸 수 있게 된 것도 이때다.
유심보호서비스는 <보안뉴스>가 단독 보도했던 2022년 KT 심스와핑 사건 이후 부각된 서비스다. 앞서 설명했던 것처럼 당시에는 사용하던 유심을 그대로 다른 휴대전화(공기기)에 꽂으면 ‘유심 기변(유심 기기 변경)’이 이뤄져 단말기를 그대로 사용할 수 있었는데, 이때 해커가 복제 유심을 통해 기기 변경을 일으킨 후, 복제 휴대전화를 만들어 사용자의 금품(암호화폐)을 탈취했다.
보안 전문가들은 유심보호서비스가 가입자 식별번호(IMSI)와 단말기 고유식별번호(IMEI)를 함께 매칭한 후 관리하기 때문에, 유심보호서비스를 사용한다면 해커가 복제 유심을 만든다 해도 IMEI를 다른 휴대전화에 꽂으면 통신이 이뤄지지 않는다고 설명한다. 이 때문에 과기정통부도 1차 조사결과 발표에서 유심보호서비스에 가입하면 심스와핑을 방지할 수 있다고 발표한 것이다.
Q. 유심보호서비스에 가입했다면 유심을 교체하지 않아도 될까?
SKT는 유심보호서비스가 유심 교체와 동일한 보안 효과를 가진다고 설명한다. 아울러 FDS와 유심보호서비스 외에 추가 안전장치를 원하는 고객에게는 유심 교체를 제공한다고 덧붙였다. 현재 SKT가 고객 보호조치로 내세운 것은 ①비정상인증시도 차단(FDS: Fraud Detection System) ②유심보호서비스 ③유심 교체다.
FDS는 비정상 인증 시도 차단 시스템 혹은 부정 거래 탐지 시스템이라고 부른다. 사용자의 평소 거래 패턴이나 다른 이상 징후를 감지해 거래를 차단하는 이 시스템은 원래 금융권에서 사용됐으며, 모바일 간편 결제 시스템 등장 이후 통신사에서도 활용하기 시작했고, 심스와핑 사건 이후 통신 서비스에도 적용된 것으로 알려졌다.
통신 서비스에서는 불법으로 복제된 유심으로 통신망 인증 시도를 할 경우 실시간으로 모니터링하고 차단한다. 다양한 보안 로직을 적용해 비정상적인 인증을 모니터링 하는데, 예를 들면 고객이 서울에 있는데 부산에서 위치 등록 신호가 잡히는 경우 비정상으로 판단해 인증을 차단하는 방식이다.
SKT는 불법 복제 유심이 만들어지더라도 SKT 통신망에 접속할 수 있는 것이 아니며, FDS와 같은 보안 시스템이 통신망을 보호하고 있다고 강조했다. 또한 심스와핑에 성공했다 하더라도 금융거래에 필요한 개인정보나 비밀번호 등이 없으면 추가적인 범죄나 금융자산 탈취 등은 할 수 없다고 강조했다.
Q. 유심 복제가 이뤄지면 기존 스마트폰의 다른 정보도 복제될까?
이번 SKT 해킹 사건으로 탈취된 정보는 가입자를 식별하고 인증하기 위한 유심 정보로, 연락처, 문자, 휴대전화 앱 등의 정보는 이번 사건과 관련이 없다는 게 SKT의 입장이다.
다만 이번 사건과 관련한 조사가 모두 끝나지 않았고, 유영상 SKT 대표 역시 4월 30일 국회 청문회에서 “최악의 경우 전 가입자의 정보 유출을 가정해 준비하고 있다”고 밝힌 만큼 안심할 수 없는 상황이다.
Q. 그럼 심스와핑이 일어나면 발생할 수 있는 피해는 뭘까?
심스와핑은 ‘복제 유심’을 다른 휴대전화에 넣어 ‘피해자 정보’로 ‘기기 변경’을 함으로써 다른 피해를 만들 수 있는 준비 단계라 할 수 있다. 특히 우리나라는 휴대전화를 기반으로 문자나 ARS, 앱 등의 ‘인증’을 하는 경우가 많아, 복제 휴대전화가 만들어지면 문제가 커질 수 있다. 실제로 2022년 발생한 심스와핑 범죄에서 해커들은 복제 휴대전화로 이메일, 카카오톡, 마이크로소프트(안드로이드), 삼성전자(휴대전화) 등의 계정을 탈취한 뒤 이를 바탕으로 암호화폐 거래소의 계정 정보까지 탈취했고, 결국 암호화폐를 탈취하는데 성공했다.
물론 현재까지 알려진 상황에서는 심스와핑이 발생할 확률은 거의 없다고 할 수 있으며, 설사 심스와핑이 일어난다고 해도 피해자의 이메일, 카카오톡, 은행 계좌 정보 등이 없으면 추가 범행이 어려운 것이 사실이다. 아울러 SKT가 이번 사건으로 발생한 피해를 100% 책임지겠다고 한 만큼 크게 걱정할 필요는 없어 보인다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
