민관합동 2차조사 발표…불안 여전
지난 7일 서울 시내 한 에스케이(SK)텔레콤 대리점에 신규 가입 중단 안내문이 붙어 있다. 연합뉴스
에스케이(SK)텔레콤 유심 정보 유출 사고를 조사한 민관합동조사단이 단말기 고유식별번호(IMEI)와 개인정보를 저장하는 서버가 악성코드 공격을 받은 정황을 추가로 확인하면서 유출 피해에 대한 우려가 커지고 있다. 정부는 단말기 고유식별번호 유출만으로는 휴대전화 복제 가능성은 낮다면서도, 이 경우 에스케이텔레콤이 2차 피해 예방 효과를 강조하며 2300만 가입자를 등록시킨 유심보호서비스가 무력화될 수 있다고 했다.
민관합동조사단은 19일 2차 조사 결과 발표 브리핑에서 지난달 1차 조사 결과 때보다 훨씬 큰 규모의 정보 유출이 있었다고 밝혔다. 2700만건의 가입자 식별키(IMSI)가 유출됐을 뿐만 아니라 단말기 고유식별번호와 이름·생년월일·전화번호·이메일 등 개인정보가 저장된 서버가 악성코드에 감염된 것을 확인한 것이다. 앞서 지난달 29일 조사단은 에스케이텔레콤이 공격받은 정황이 있는 서버 5대를 조사한 결과, 가입자 전화번호와 가입자 식별키 등이 유출됐지만 단말기 고유식별번호는 유출되지 않았다고 밝힌 바 있다.
민관합동조사단, SKT 정보유출 조사 결과
이에 따라 유심 교체 대신 가입자 불안을 해소하는 대안 중 하나였던 유심보호서비스가 무용지물이 될 가능성까지 불거졌다. 유심보호서비스는 이동통신 가입자의 유심 정보를 하나의 단말기에서만 작동하도록 일종의 ‘용접’을 한 시스템이다. 해커가 유출된 유심 정보로 복제 유심을 만들어 다른 단말기에 꽂아 사용하려고 시도해도 단말기 고유식별번호가 다르기 때문에 휴대전화는 작동하지 않는다.
하지만 유출된 단말기 고유식별번호로 해커가 단말기까지 복제할 수 있다면 유심 정보와 단말기 정보가 모두 일치하는 ‘쌍둥이폰’을 만들 수 있어 유심보호서비스는 효력을 잃게 된다. 김승주 고려대 정보보호대학원 교수는 “단말기 고유식별번호가 유출됐다면 현재 에스케이텔레콤이 제공하는 유심보호서비스는 무력화된다”며 이런 경우 에스케이텔레콤이 “단말기 고유식별번호도 유출됐다는 전제 아래 대응해야 한다”고 말했다.
이날 류제명 과학기술정보통신부 네트워크정책실장은 유출이 확인된 약 2700만건의 가입자 식별키 및 기존 다크웹 등에서 거래되는 개인정보가 단말기 고유식별번호와 결합할 경우 휴대전화 복제가 가능하다는 점을 부인하지 못했다. 류 실장은 “(개인정보 등과 결합해) 복제폰이 가능한지 여부에 대해서 (위험이 해소됐다고) 100% 말씀드리긴 어렵다”고 했다.
그러면서도 류 실장은 스마트폰 제조사들의 답변을 언급하며 “단말과 숫자를 인증하는 인증키 값을 제조사가 갖고 있기 때문에 (15자리 숫자 조합인) 단말기 고유식별번호만 복제됐다고 해서 복제폰이 작동하진 않는다”며 “설사 복제폰이 만들어졌다 하더라도 (에스케이텔레콤이 적용한) ‘비정상 인증 시도 차단 시스템’(FDS·에프디에스)에선 무력화되는 것이어서 기술적으로 (복제폰 피해) 우려가 없다고 판단하고 있다”고 말했다. 에프디에스는 가입자 식별키와 인증키 이외에도 여러 환경설정 정보를 토대로 비정상 인증을 차단한다. 예를 들어, 서울에서 통신망에 접속한 가입자의 위치 등록 신호가 갑자기 부산에서 잡히는 경우 이를 비정상 인증으로 판단해 통신 접속을 막는다.
정부는 정보 유출로 인한 에스케이텔레콤 가입자 피해는 확인되지 않았지만 해킹 영향을 좀 더 신중하게 살펴야 한다고 가능성도 열어놓았다. 류 실장은 “이번 해킹이 경제적 목적 등으로 특정 데이터베이스를 목표로 해 탈취하고 다크웹 등에서 거래를 시도하는 양상과 달라 해커의 서버 침입 목적 등을 면밀하게 들여다보고 있다”고 했다.
한편 조사단은 에스케이텔레콤의 미흡한 정보보호 조처에 대해서도 조사 중이다. 한국인터넷진흥원(KISA)은 브리핑에서 에스케이텔레콤이 유출된 개인정보를 암호화하지 않은 채 평문으로 저장했다고 밝혔다. 개인정보보호법 위반 소지가 있는 대목이다. 또 서버에서 발견한 개인정보의 경우 정밀한 조사가 필요한 사항이라고 보고 개인정보위원회에도 통보했다.
