SKT 해킹 사고가 발생한 지도 어느새 한 달이 지났습니다.
지난 한 달, 정말 많은 기사가 쏟아져나왔습니다. 하지만 기사를 읽을수록 뭐가 뭔지 더 헷갈린다는 분들이 많았습니다. 사실 저도 그렇습니다.
'그래서 내 정보가 빠져나갔다는 거야 안 나갔다는 거야, 위험하다는 거야 괜찮다는 거야, 유심 교체를 하란 거야 말란 거야, 위약금은 면제해 주는 거야 안 해주는 거야…'
알쏭달쏭 생소한 단어부터 가장 최근 버전의 정부 조사 결과, 그리고 이용자 개개인의 대처방안까지, 최대한 쉽게 정리해 봤습니다.
■ 시작 : 4월 18일, 18시 9분
4월 18일, 여느 때와 다름없던 하루.
SK텔레콤 보안관제센터에서 사내 시스템 데이터의 비정상적인 움직임이 감지됩니다. 이때 움직인 데이터는 9.82기가바이트(GB), 책으로 따지면 3백 쪽짜리 9천 권 규모입니다.
그때 시각이 18시 9분, SKT는 바빠집니다.
5시간 뒤엔 서버에서 악성코드를 발견하고, 이 비정상적 데이터의 움직임이 해킹 공격 때문이라는 사실을 확인합니다.
하지만 정확히 어떤 데이터가 유출됐는지 분석하는데 만 하루가 걸렸고, 다음날인 19일 23시 40분, 이용자 유심 관련 정보가 유출됐다는 정황을 확인합니다.
전 국민을 공포에 몰아넣었던 유심 대란의 시작입니다.
이후 상황이 매우 빠르게 전개됩니다.
SKT가 처음 보도자료를 배포하고, 정부는 민관합동조사단을 꾸립니다.
유영상 대표가 대국민 사과와 함께 유심 무료 교체를 선언하면서, 전국 SKT 대리점마다 긴 줄이 늘어서는 진풍경이 벌어집니다.
상황이 걷잡을 수 없이 번지자 민관합동조사단이 급하게 1차 조사 결과를 발표합니다.
"'단말기 고유식별번호(IMEI)' 유출은 없었음"
■ IMEI? IMSI? 이건 MBTI 같은 건가요?
IMEI(International Mobile Equipment Identity)는 단말기 고유식별번호입니다. 스마트폰 '설정-정보'에 들어가면 확인할 수 있는데, 보통 15자리 숫자로 구성돼 있습니다.
그런데 정부는 왜 조사 초기 단계에 'IMEI가 유출이 없었다'는 메시지를 급하게 냈을까요? 앞에 이 말을 붙여보면 알 수 있습니다.
" (가입자 식별번호 유출은 있었지만) 단말기 식별번호 유출은 없었음"
가입자 식별번호는 IMSI(International Mobile Subscriber Identity)입니다. 조사단은 1차 발표 당시 유출 정보 중에 유심 복제에 활용될 수 있는 IMSI, 전화번호, 인증키 등이 포함돼있다고 밝혔습니다.
IMEI와 IMSI는 'E(Equipment)'와 'S(Subscriber)' 글자 하나만 다른데, IMEI는 휴대전화 기기를 식별해주는 고유번호이고, IMSI는 사람, 즉 가입자를 식별해주는 번호입니다.
이번 SKT 유심 정보 유출 사태에서 가장 우려됐던 건 이른바 복제폰(또는 쌍둥이폰) 가능성이었습니다.
해커가 유출된 유심 정보로 내 휴대전화와 똑같은 폰을 만들어서 금융 범죄 등에 쓸지 모른다는 걱정이었죠.
그런데 이 복제폰을 만드는 데 가장 핵심적인 정보 두 가지가 IMEI와 IMSI입니다(물론 이 두 정보가 다 있어도 복제폰이 뚝딱 만들어지는 건 아니라는 게 전문가들의 중론입니다!).
민관합동조사단 1차 조사 결과 발표는 결국 이런 겁니다.
'복제폰의 한 축인 IMSI는 유출됐지만, 다른 한 축인 IMEI는 유출되지 않았습니다. 안심하세요, 여러분!'
그리고 20일 만에 진행된 조사단의 2차 조사 결과 발표에서 이 사실이 일부 뒤집힙니다.
■ 아닙니다, 있었습니다 IMEI!
지난 19일, 민관합동조사단은 지금까지 진행한 2차 조사 결과를 발표합니다.
조사단은 현재까지 모두 23대 서버가 악성코드에 감염된 것으로 확인했는데, 이 중 15대는 포렌식 등 정밀 분석을 마쳤고 나머지 8대는 분석 중입니다.
그런데 그 과정에서 조사단은 15대 중 2대의 서버에 가입자들의 개인정보와 함께 IMEI 29만여 건이 담겨 있다는 사실을 새로 발견합니다.
조사단은 SKT 방화벽 로그기록이 남아있는 지난해 12월부터 지난달까지는 IMEI 유출이 없었다고 밝혔는데요.
문제는 그 이전입니다.
이번 2차 조사 결과에서 처음 확인된 악성코드 설치 시점은 2022년 6월입니다. 이때부터 지난해 12월까지는 로그기록이 남아있지 않습니다. 로그기록이 없으면 유출 여부도 알기 어렵습니다.
물론, 악성코드가 감염됐다고 무조건 데이터가 유출되는 건 아닙니다. 하지만 아니라고 단정할 수도 없습니다.
■ 아니 그럼 복제폰이 만들어질 수 있는 건가요?
당국과 SKT의 설명은 일단 "가능성이 낮다"입니다.
류제명 과기정통부 네트워크정책실장은 어제(19일) 브리핑에서 "IMEI가 설사 유출됐다고 해도 스마트폰 복제는 물리적으로 불가능하다"고 설명했습니다.
"제조사나 사업자 판단으로 볼 때 복제폰은 물리적으로 불가능하고, 만에 하나 만들어졌어도 네트워크에 접속하는 것이 완벽하게 차단된다"는 겁니다.
그러면서"혹시 피해가 발생할 때를 대비해 SK텔레콤에 보상책을 확실히 하라고 요구한 상태"라고 덧붙였습니다.
SKT 반응도 비슷합니다.
SKT측은 "단말기 고유식별번호가 외부로 유출됐다 하더라도, 해당 정보만으로는 이른바 '복제 폰'(불법 복제 단말기)을 만들기도 어렵고, 만든다고 하더라도 자체 시스템으로 차단할 수 있다고 강조했습니다.
또, 지난 2022년 6월부터 수사기관에 접수된 SKT 관련 유심 복제 사고, 또 그 기간 회사에 들어온 고객 불만 사항 등을 모두 살펴봤지만 이번 해킹 사고로 인한 2차 피해는 단 한 건도 발견되지 않았다고 밝혔습니다.
다만, 최종 조사 결과 발표까지는 한 달 정도 더 걸릴 것으로 예상됩니다. 피해 규모는 더 커질 수 있습니다.
■ 그래서, 저는 어떻게 하면 되죠?
당국과 SKT의 공통된 설명은 '과도한 불안은 경계하자' 지만, SKT 이용자는 불안한 것도 사실입니다.
이용자 입장에서 당장 취할 수 있는 선택지는 많지 않습니다.
우선, 유심을 교체하려면 예약을 하고 매장을 방문해야 하는데, 유심 교체를 희망하는 이용자보다 유심 재고가 적기 때문에 연락이 오기를 기다릴 수밖에 없습니다.
SKT는 다음 달에 유심 5백만 개가 추가로 들어오면 어느 정도 교체 수요를 해소할 수 있을 것으로 보고 있습니다.
실물 유심을 교체하지 않고도 유심 재설정(포맷)을 통해 교체에 준하는 효과를 갖거나, 가능한 기종의 경우 기다릴 필요 없이 실물이 아닌 이심(eSIM)으로 직접 교체할 수도 있습니다.
유심 교체도 불안하다 싶으면 다른 통신사로 번호 이동을 할 수도 있습니다. 하지만 약정 할인을 받은 경우 '위약금'이 문제입니다.
국회에서도 이번 사태의 귀책이 SKT에 있는 만큼 위약금을 면제해야 한다고 요구하고 있지만, SKT도 정부도 확답을 못 하고 있습니다. 이것 역시 최소한 다음 달 최종 조사 결과 발표 이후 결정될 가능성이 큽니다.
SKT는 자체적으로 비정상 인증 차단 시스템(FDS)과 자동 가입된 유심보호서비스를 통해 2중으로 불법 유심·단말기 복제를 원천 차단하고 있다는 입장입니다.
SKT는 3년 전 악성코드 침입을 알지 못했고, 늑장 신고에, 섣부른 유심 교체 발표로 어르신들을 대리점 앞에서 하염없이 기다리게 했습니다. 정보보호 투자 금액도 1위 이동통신사에 걸맞지 않았습니다.
하지만 이와 별도로 잘못된 정보로 인한 과도한 공포심 역시 경계할 필요가 있습니다. 당장 유심을 교체하지 않으면 내 계좌에 있는 돈이 빠져나간다거나 하는 것 말이죠. 사고 초기, 대리점 앞에서 만난 어르신이 제게 하신 말이기도 합니다.
■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : [email protected]
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 네이버, 유튜브에서 KBS뉴스를 구독해주세요!
