SKT 해킹으로 유출된 내 정보, 정확히 뭐가 빠져나간 걸까?
지난 4월 SK텔레콤의 홈가입자서버(HSS)가 해킹당해 약 9.7GB에 달하는 유심(USIM) 관련 정보가 유출되었습니다. 이는 책 270만 페이지 분량에 해당하는 방대한 데이터입니다. 하지만, IT나 통신 쪽에 전문성이 없는 일반인들에게는 어떤 의미인지 정확히 파악되지 않아 이해하기가 어려운데요.
구체적으로 어떤 정보가 유출된 것인지, 그래서 어떤 위험이 있는지에 대해 빠르게 정리를 좀 해보겠습니다.
📌 유출된 정보는 어떤 것들일까?
이번 해킹으로 어떤 정보들이 유출된 것인지 먼저 정리를 해볼께요.
- 국제이동가입자식별번호(IMSI): 휴대폰 사용자를 고유하게 식별하는 번호로, 통신망에 접속할 때 사용되는 번호 입니다.
- 전화번호(MSISDN): 회원가입자들이 실제로 사용하는 전화번호입니다.
- 단말기 고유식별번호(IMEI): 휴대폰 단말기의 고유 식별번호로, 어떤 단말기인지를 특정하는 데 사용됩니다.
- 유심 인증키: 통신망 인증에 사용되는 보안키를 뜻하는데, 이 유심 인증키가 유심 복제에 악용될 수 있습니다.
쉽게 말해 이번에 유출된 정보들은 개인의 '디지털 신분증'과 같아서 해커가 이를 이용해 유심을 복제해 다른 기기에서 마치 정보가 유출된 회원의 회선인 것처럼 가장할 수 있다는게 문제입니다.
⚠️ 어떤 위험이 있을까?
위의 정보를 기준으로 어떤 위험이 있을지 예상해 보자면,
1) 심 스와핑(SIM Swapping): 정보를 해킹한 해커가 사용자의 유심을 복제해 전화번호로 인증을 시도하고, 이를 통해 보안이 유지되어야 하는 앱등에 접근할 수 있습니다. 이를테면, 2차 인증이 필요한 SNS나 다른 회원가입 사이트들이 있을 수 있고, 정말 안좋을 경우 금융 계좌에 접근할 수도 있겠죠.
하지만, 금융계좌의 경우 일반적인 웹사이트에 적용되는 서버 개념이 아니기 때문에 바로 뚫리지는 않고, 생체정보 등으로 로그인을 걸어 놓은 경우도 있고, 또다른 인증 수단들을 겪어야 하기 때문에 쉽게 뚫리는 개념과는 조금은 다른 부분이라고 합니다. 그렇다고 마냥 안심해도 된다는 뜻은 아니니 오해하진 마세요!
2) 불법 개통 및 명의 도용: 유출된 정보를 이용해 새로운 회선을 개통하거나, 사용자의 명의로 서비스를 이용할 수 있습니다.
3) 피싱 및 스미싱 공격: 전화번호와 같은 정보가 유출되면, 이를 이용한 피싱 메시지나 스미싱 공격이 증가할 수 있습니다. 실제로 과거에도 유사한 방식으로 금융 피해가 발생한 사례가 있으며, 이번 유출로 인해 이러한 위험이 다시 부각되고 있습니다.
🛡️ 어떻게 대응해야 할까?
1. 유심 교체
현재 SK텔레콤은 유심 무상 교체를 진행하겠다고 했지만, 사실상 전국의 모든 SK텔레콤 매장에는 유심이 부족한 현상이 일어나면서 이 또한 제대로 되고 있지 않은게 사실입니다. 대응이 참 한심할 지경인데요. 또 개발쪽 전문가들의 의견에 따르면 유심을 교체한다는 것이 절대적으로 문제를 해결하는 답안지는 아니라고 하기도 하고요. 피해자 입장에서는 여러모로 혼란스러운 정보들이 많아 불안감이 더 커지고 있는 것이 사실입니다.
2. 유심보호서비스 가입
그래서 또 내놓은 다른 방법이 유심보호서비스에 가입해 유심 변경 시 추가 인증 절차를 요구하는 방식인데 이를 통해 유심의 무단 변경을 방지할 수 있기 때문이라고 합니다. 근데 이미 정보가 털렸는데, 이게 의미가 있을까요? 이미 해킹한 쪽에서는 갈아껴도 싹 갈아꼈을 것만 같은데요.
오히려 아직 해킹이 안된 다른 통신사 고객들이 그 통신사에도 이런 기능이 있는지를 확인해보고 신청해보는게 나을 것 같네요.
3. 계정 보안 강화
주요 계정의 비밀번호를 변경하고, 2단계 인증을 설정하여 보안을 강화하세요.
4. 이상 징후 모니터링
통화나 문자 내역에 이상이 없는지 주기적으로 확인하고, 의심스러운 활동이 발견되면 즉시 통신사나 관계 기관에 신고하세요. 의심스러운 활동이란 갑자기 인증하라는 문자가 수신된다거나 뭐 사이트의 비밀번호가 변경되었다는 문자가 온다거나 하는 것들이 대표적인 예가 아닐까 싶습니다.
이번 SKT 해킹 사건은 단순한 정보 유출을 넘어, 국내 1위 통신사라는 곳이 얼마나 보안에 취약했는지를 여실히 드러내는 사건이라고 생각이 되네요. 개인 정보 보호를 위해 사용자가 적극적인 보안 조치를 취해야 하는 것도 맞지만 통신사 역시 계약의 내용대로 자신들이 해야하는 보안 장비와 기술들을 갖춰야 맞는거 아닌가요?
앞으로 SK텔레콤이 어떻게 이 상황에 대해 보상을 해나갈지 지켜봐야 겠지만 정말 제대로된 보상을 해주길 바래봅니다.
추가로 꼭 확인 하세요!