SK텔레콤이 사이버 침해사고로 고객들의 유심 정보가 탈취된 이후 유심보호서비스와 유심 무상교체 등의 후속조치를 이어나가고 있는 가운데 유심을 둘러싸고 사실과 다른 정보가 나돌고 있는 것에 이를 바로잡고자 30일 유심과 관련된 정확한 정보를 질의응답 방식으로 공개했다.
유심은 가입자의 이름과 전화번호 등 개인정보가 담겨있지 않기 때문에 일반적인 고객정보 유출과 다르지만, 탈취당한 유심이 복제될 것에 대비해 유심보호서비스를 우선적으로 가입할 것을 권유하고 있다.
또 유심을 교체하는 것이 가장 안전하지만 현재 SK텔레콤이 확보하고 있는 유심은 100만개 정도이고, 5월말에 500만개를 추가로 확보할 수 있어 알뜰폰 가입자까지 포함해서 2500만명에 이르는 가입자들 모두에게 유심을 교체하기엔 턱없이 부족한 물량이다.
이에 SK텔레콤은 지난 29일 유심 교체와 동일한 효과를 가지는 유심 소프트웨어를 변경하는 방식인 '유심 포맷'을 5월 중순까지 개발을 완료하고 가입자들에게 적용할 수 있도록 준비하겠다고 밝힌 바 있다.
다음은 SK텔레콤에서 공개한 유심에 대한 일문일답식 정보들이다.
Q1. 유심은 무엇?
=유심(USIM)은 가입자를 식별하고 인증해 이동통신 서비스를 이용할 수 있도록 하는 범용가입자식별모듈(Universal Subscriber Identity Module)이다. 유심에는 △가입자를 식별하고 인증하기 위한 정보와 △가입자가 직접 저장한 정보가 담겨있다.
가입자 식별정보는 국제 이동통신 가입자 식별번호(IMSI, International Mobile Subscriber Identity), 가입자 인증키(Ki) 등 유심을 개통하거나 인증할 때 필요한 정보를 말하며, 이는 망과 연동된다. 가입자가 직접 저장한 정보는 '모바일 티머니'나 인증서 등 사용자가 유심에 저장한 정보로, 망과 연동되지 않는다. 따라서 이번 유출 사고와는 관련없는 정보다.
유심은 사용자의 전화번호, 가입자 식별번호 등을 저장해 기기를 인증하거나 네트워크를 연결할 때 필요하다. 이름, 주민등록번호, 주소 등 개인정보는 포함돼 있지 않다.
Q2. 이번 침해 사고를 통해 유출된 유심정보는 무엇?
=4월 29일 과학기술정보통신부 1차 조사결과에 따르면 가입자 전화번호, 가입자 식별번호(IMSI) 등 유심 정보가 유출됐다. '단말기 고유식별번호(IMEI)'는 유출되지 않은 것으로 확인됐다. 아울러 과학기술정보통신부는 현재 SK텔레콤이 시행중인 유심보호서비스에 가입할 경우, 이번에 유출된 정보로 유심을 복제해 다른 휴대폰에 꽂아 불법적 행위를 하는 것(이른바 심 스와핑)을 방지할 수 있다고 밝혔다.
Q3. 고객 보호조치로 어떤 것을 하고 있나?
=SK텔레콤은 ①비정상인증시도 차단(FDS, Fraud Detection System) 강화 ②유심보호서비스 가입 ③유심 교체 등 3중 보호장치를 적용중이다.
Q4. 비정상인증 차단 시스템(FDS)이 무엇인가?
= FDS는 누군가 불법으로 복제된 유심으로 통신망 인증 시도를 할 경우 이를 실시간으로 모니터링하고 차단하는 시스템을 말한다. 다양한 보안 로직을 적용해 비정상적인 인증을 모니터링하고 차단하고 있다. 가령, 고객이 서울에 있음에도 부산에서 갑자기 위치등록 신호가 잡히는 경우 이를 비정상으로 판단해 인증을 차단한다. SK텔레콤은 사고 발생 직후 이러한 FDS 정책을 최고 보안 수준으로 격상했다.
Q5. 유심보호서비스는 무엇?
= 유심과 단말을 하나로 묶어서 관리하는 서비스를 말한다. 유심을 복제해 다른 단말로 기기를 변경하는 시도를 차단하는 보안서비스다. 즉, 유심보호서비스에 가입하면 누군가 유심을 복제하더라도 해당 유심을 사용할 수 없다.
Q6. 유심보호서비스에 가입한 사람도 유심 교체를 해야 하나?
= 유심보호서비스는 유심교체와 동일한 효과의 보안 장치다. FDS와 유심보호서비스 외에 추가 안전장치를 원하시는 고객에게는 유심 교체를 무료로 제공하고 있다. 다만 유심 교체시 유심에 다운로드 한 정보(공인인증서 등)는 새로 설치해야 하는 불편함이 있다.
Q7. 소프트웨어 변경 '유심포맷'은 무엇인가?
= 유심 교체는 애플리케이션 재설정, 데이터 백업 등을 해야 하지만 현재 SK텔레콤가 개발하는 '유심포맷'은 유심 정보를 소프트웨어적으로 변경하는 방식이다. 물리적으로 유심을 교체할 때와 비교해 고객의 불편함을 최소화하고, 교체 소요시간도 다소 줄어들 것으로 예상된다. 다만 유심포맷을 하려면 매장을 직접 방문해 유심 변경과 관련한 시스템 매칭 작업을 거쳐야 한다. SK텔레콤은 5월 중순쯤 '유심포맷'을 적용하겠다는 계획이다.
Q8. 유심 정보 유출만으로 금융자산 탈취가 가능한가?
= 탈취한 유심정보로 불법 복제 유심을 만들더라도 그것 만으로 SK텔레콤 망에 접속할 수 있는 것은 아니다. FDS와 같은 보안 솔루션이 통신망을 보호하고 있기 때문이다. 설령 불법 복제 유심으로 심 스와핑에 성공했다고 해도 금융거래에 필요한 개인정보나 비밀번호 등은 없어 추가적인 범죄행위 없이는 금융자산을 탈취할 수 없다. 현재까지 이번 침해 사고로 인한 범죄 피해는 확인되지 않고 있다.
Q9. 불법 유심 복제가 되면 연락처, 문자, 앱도 복제가 되나?
=아니다. 탈취한 유심 정보로 유심만 복제되는 것이다. 즉, 유심 복제만으로는 은행이나 가상자산 계좌가 탈취되거나 공인인증서 등이 복제되지 않는다. 유심정보에 주민등록번호, 계좌번호 은행 OTP 등 정보가 담겨 있지는 않기 때문이다.
Q10. 유심비밀번호 설정하는 건 도움이 될까?
=유심 비밀번호는 유심을 비밀번호로 잠가 유심을 도난 당하거나 물리적으로 탈취 당한 경우 다른 사람이 쓰지 못하도록 하는 보안 기능으로 이번 사고와는 관련이 없다.
Q11. 나도 모르는 사이 유심이 복제된 폰으로 통화나 문자 등 서비스를 이용할 수 있나?
= 동일한 번호의 2개 회선이 동시에 통신망 시스템에 접속하는 것은 불가하다. 다만, 휴대폰 전원이 꺼져 있는 시점에는 복제폰이 통신망 시스템에 접속할 가능성이 있다. 이러한 가능성을 차단하는 것이 FDS와 유심보호서비스이기 때문에 유심보호서비스 가입을 권장드린다.
Q12. PASS 앱의 명의도용 방지서비스를 설치하면 유심보호서비스가 필요없나?
=PASS 앱 명의도용 방지서비스는 유심보호서비스와 관련이 없다. 명의도용 방지서비스는 범죄자가 탈취한 개인정보를 활용해 휴대폰을 개통하는 것을 막아준다. 이는 유심정보를 악용한 범죄를 차단하는 유심보호서비스와 다르다.
Copyright @ NEWSTREE All rights reserved.
