SK텔레콤(SKT) 해킹 사고로 인해 유출된 유심(USIM·가입자 식별 모듈) 정보는 가입자 전화번호와 가입자식별번호(IMSI), 기본키, 사업자 인증키 등 총 4종으로 확인됐다. 단말기 고유식별번호(IMEI)의 유출은 없는 것으로 확인됐다. 정부는 “유심보호서비스에 가입하는 경우 유심 정보를 복제해 다른 휴대전화에 꽂아 불법 이용하는, 심 스와핑 위험은 없다”고 밝혔다.

29일 과학기술정보통신부(과기정통부)는 SKT 해킹 사고를 조사 중인 민관합동조사단(조사단)이 한주 동안 조사한 내용을 발표했다. 공격을 받은 정황이 있는 SKT의 3종류의 서버 5대를 우선 조사한 결과, 유출된 정보는 전화번호·IMSI 등 유심 복제에 활용될 수 있는 4종과 유심 정보 처리 등에 필요한 SKT 관리용 21종이었다. 휴대전화를 식별하기 위해서 기기마다 부여되는 고유한 번호, IMEI의 유출은 없는 것으로 확인됐다. 

IMEI가 유출되지 않았다는 것은 이번 해킹 사고의 최악의 시나리오로 꼽히는 ‘심 스와핑’(SIM swapping)의 가능성이 현격히 낮아졌음을 뜻한다. 심 스와핑은 유심을 복제해 다른 휴대 전화에 꽂아서 인증 등을 가로채 금융 사기를 벌이는 범죄를 말한다. 염흥열 순천향대 정보보호학과 교수는 “해커가 유심을 복제해 통신망에 접속해도 IMEI가 다르기 때문에, 즉 다른 휴대전화 기기를 사용한다는 것을 알아챌 수 있기 때문에 비정상인증시도 차단 시스템(FDS) 등이 잘 작동할 수 있는 근거가 될 것”이라고 말했다. 과기정통부 측은 “SKT가 시행 중인 유심보호서비스에 가입하는 경우 심 스와핑이 방지됨을 확인했다”고 설명했다.

1차 조사 과정에선 침투에 사용된 ‘BPFDoor’ 계열의 악성코드 4종도 발견됐다. BPF(Berkeley Packet Filter)란 리눅스 운영체제(OS)에서 네트워크 패킷(데이터 흐름)을 효율적으로 감시하고 필터링하는 기능이다. 해커는 이런 BPF를 악용해 네트워크 감시를 피하면서 외부에서 몰래 시스템에 접근할 수 있는 백도어(Backdoor·뒷문)를 악성코드로 심었다. 워낙 은닉성이 높아 해커의 통신 내역을 탐지하기 어려운 특징이 있다. 이에 조사단은 피해확산 방지를 위해 지난 25일 민간기업·기관 등에 관련 정보를 공유했다.

현재 민관합동조사단은 해킹 사고의 피해 원인과 규모 등을 조사 중이다. 공격 정황이 없었던 서버들에 대해서도 조사를 확대 중이다. 고학수 개인정보보호위원회 위원장은 전날 “현재 SKT 침해 서버에 대한 포렌식을 진행 중”이라면서 “짧게 걸리면 2~3개월, 시스템이 복잡한 경우 1년 이상 걸릴 수 있다”(국회 정무위원회 전체회의)고 밝히기도 했다.


 

전날부터 시작된 유심(USIM·가입자 식별 모듈) 교체 대란은 이틀째 이어졌다. 29일 오전 9시 기준 유심을 교체한 SKT 이용자는 28만 명이다. 유심 예약 누적 건수는 432만 명으로 전날 오후 대비 약 1.5배 늘었다. 유심 교체 지연에 SKT 이탈자도 생겼다. 업계에 따르면, 28일 하루 동안 SKT 가입자 3만 4132명이 다른 통신사로 이동했다. 이탈한 가입자의 약 60%는 KT로, 나머지는 LG유플러스로 갈아탔다.

유심 재고 부족 등 난항을 해결하기 위해 이날 SKT는 다음 달 중순쯤 ‘유심 포맷’을 적용할 수 있도록 기술 개발 중이라고 밝혔다. 유심 포맷은 유심 소프트웨어를 변경하는 방식이다. 기존 유심 교체가 하드웨어 차원에서 물리적으로 새로운 유심으로 바꾸는 것이라면, 유심 포맷은 “SKT 이용자가 가진 유심 정보를 소프트웨어 차원에서 변경해 유심 교체를 없이 교체에 준하는 효과를 낼 수 있다”는 설명이다. 이와 더불어 보유한 유심에 안심 기능을 설정하는 유심보호서비스 가입도 처리 용량을 크게 늘려 5월 초까지 1500만 명 정도가 가입할 것으로 전망하고 있다.