최근 SKT의 유심해킹이 이슈가 되고 있는데요. 특히 어제 SK텔레콤에서 전고객 대상으로 유심 무료 교체라른 강수를 두면서 더 큰 이슈가 되고 있습니다. 어제 보도자료가 나가자 마자 주위의 SK텔레콤 대리점은 대부분 유심 재고가 소진된 상황입니다.
개인적으로 많은 지인분들이 유심 교체에 대해서 문의가 들어와서 간단하게 정리해보았습니다. 각종 자극적인 기사로 인하여 두려움만 커지고 있는데요.
그러면 이 유심 교체에 대한 팩트를 하나씩 체크해보겠습니다.
이 글에 앞서서 지난 포스팅에 유심의 역할과 심스와핑에 대해서 간단하게 적어보았는데요. 이 글을 한번 보시면 전체적인 이해가 더 잘 될 수 있으니 한번 읽어보시기 바랍니다.
그런데 사실 점점 인터넷을 통해서 여러가지 이야기가 커지다 보니 좀 더 내용을 다듬어서 정리해봤습니다.
유심 해킹하면 할 수 있는 것?
먼저 이번 해킹에서 유출된 정보가 어느것인지 명확하게 알아야합니다. 아직 명확하게 해킹사건이 종결되지 않았지만, 저번 글에서도 말씀드린 것처럼 현재까지 알려진 정보로는 SK텔레콤의 홈가입자서버(HSS)가 해킹을 당했습니다.
SK텔레콤은 이달 19일 ‘홈가입자서버(HSS)’가 악성코드에 감염돼 내부에 담긴 유심 고유식별번호와 키값 등 일부 가입자 정보가 외부로 유출되는 사태를 겪었는데요. HSS는 모든 가입자의 전화번호, 고유식별번호, 키값 등 유심 정보를 포함해 기지국 노드값 등 음성 서비스 제공에 필요한 정보를 관리하는 유심정보 통합관리 서버입니다. 통신 서비스 제공에 필요한 중앙서버의 하나입니다.
즉 이에 따라 유심을 통해 스마트폰을 개통하는 정보가 노출된 것으로 알 수 있습니다. 즉 지금 해킹된 정보로 USIM을 복제해서 동일 명의의 핸드폰을 개통할수도 있다는 뜻입니다.
하지만 여기에는 몇가지 조건이 붙는데요. 먼저 FDS 시스템을 우회해야 합니다.
그리고 기사에 나온 것처럼 유심보호서비스를 가입했다면, 단말기와 유심을 묶었다고 생각하시면 됩니다.
즉 내유심은 내스마트폰에서만 사용가능한 상태가 된 것인데요. 유심보호서비스 미가입이라면 아무 단말기에서 복제한 유심을 넣으면 동작하겠지만 가입한 상태라면 사용자가 가지고 있는 단말에서만 개통이 됩니다.
물론 단말기를 루팅하고 기존에 사용자가 사용하던 단말의 IMEI값을 또 복사하면 우회할수는 있습니다. 하지만 이번 유출된 정보에 IMEI값이 있다는 내용이 없으므로, IMEI값을 다른 곳에서 해킹해서 가져오지 않는 한 스마트폰 개통부터 쉽지 않습니다.
그래서 대부분의 경우 유심보호서비스만 가입하더라도 해킹범이 단말기 개통하는 것부터 거의 불가능에 가깝습니다.
FDS 시스템
기본적으로 불법적인 유심 복제 및 도용 시도가 있더라도 SK텔레콤의 불법 유심의 비정상 인증 차단 시스템(FDS)을 통해 탐지 및 차단될 가능성이 높습니다. FDS는 “Fraud Detection System”의 줄임말로, 금융 거래 시 이상하거나 불법적인 행위를 탐지하고 방지하는 시스템을 의미합니다. 금융권에서 자주 쓰는 단어이기도 합니다.
예를 들어 카카오톡이나 네이버의 경우에도 평소 접속하던 주소가 아니면 평소와 다른 로그인이 감지되었다고 차단되는데요. 이런 것 역시 기본적인 FDS 시스템이라고 할 수 있습니다. 카카오톡의 평소와 다른 로그인은 아래 포스팅을 참고해보세요.
카카오톡 평소와 다른 로그인이 감지되어 카카오톡으로 추가 인증이 필요합니다. 해결하기
FDS를 간단하게 요약하자면 사용자의 평소 접속 습관과 거래 패턴을 가지고 특이한 접속이 되면 차단을 시키는 시스템이라고 생각하면 됩니다. 일반적으로 아래의 데이터를 가지고 빅데이터와 AI를 활용하여 판단하는데요.
- 위치정보를 통한 이상 거래 진단
- 고객정보와 평소 거래 패턴 분석
- 고객 접속 환경 정보 분석
- 기존 통계 데이터를 활용한 위험도 측정
즉 평소 100만원 이상 사용하지 않는데, 갑자기 사용자가 천만원을 쓴다는 등의 이상 거래를 판단하면 알림을 보내는 것이죠. 통신사에서도 역시 10분전까지 서울에서 스마트폰을 사용중이었는데, 갑자기 유심이 제주도에서 잡힌다면 불법 사용이라고 생각해서 차단한다는 것이죠.
즉 심 스와핑을 위해서는 본인의 거주지 근처에서 시도해야지 성공할 수 있습니다.
금융정보 탈취?
심 스와핑이 가장 무서운 것은 금융정보 탈취에 대한 내용인데요. 과연 스마트폰으로 금융정보를 탈취해서 돈을 가져갈 수 있을까요? 답은 쉽지 않다입니다. 심스와핑으로 인한 금융정보 탈취는 아래의 예시가 가장 많이 사용되는데요.
2018년 캐나다에서는 10대 소년 해커가 심 스와핑으로 약 475억원(4600만 캐나다 달러)가량의 가상화폐를 빼냈습니다. 조사 결과 이 소년은 이동통신사를 속여 새로운 유심을 발급받고 전화번호를 이용해 비밀번호를 초기화한 뒤 자신의 전자지갑에 가상화폐를 옮긴 것으로 밝혀졌습니다. 국내에서도 2022년 초 경찰이 약 40건의 심 스와핑 피해 의심 사례에 대해 수사한 바 있다고 하는데요. 당시 피해자들은 휴대전화가 갑자기 먹통이 된 후 수백만원에서 2억7000만원 상당의 가상자산을 도난당했다고 진술했습니다.
하지만 22년 이후 국내은행에서는 2차인증 시스템이 도입되었습니다. 심 스와핑을 위의 조건을 우회해서 성공했다고 하더라도, 금융정보는 다른이야기인데요.
기본적으로 심스와핑이 성공하면 기기변경후 새로운 폰에 앱을 설치해야 하는 것과 동일합니다. 먼저 피해자가 어떤 은행을 사용하고 있는지부터 확인해야 합니다.
그리고 이후 국내은행에서 앱을 통해 로그인 하기 위해서는 최소한 4개의 정보는 알고 있어야 합니다. 특히 타 계좌에서 1원 인증해야하는 것이 쉽지 않습니다.
- 개인명의 스마트폰(심스와핑)
- 개인 신분증
- 개인명의 다른 계좌(1원 인증)
- 계좌 비밀번호
은행 앱 설치는 아래 포스팅을 참고해보시기 바랍니다.
즉 심 스와핑을 통해서 스마트폰 인증을 우회했다고 하더라도, 개인 신분증과 주민등록번호, 다른 계좌와 계좌 비밀번호까지 있어야지 금융정보 탈취가 가능한데요. 단순히 스마트폰만 해킹했다고 해결할 수 없습니다. 즉 이번 해킹 + 다른 곳에서 얻어진 정보가 있어야 가능한데요.
실제로 이번 유심 해킹으로 피해가 발생했다면 거의 일주일정도 지난 지금에 엄청난 금융피해가 보고되었어야 하나, 아직까지 밝혀진 것은 없습니다.
물론 다른 정보가 유출되면 위험할 수는 있고 또 유심의 경우 소모품이기 때문에 조금 잠잠해진 다음에 유심을 교체하는 것은 나쁘지 않은 선택입니다.