지난 26일 서울 시내 한 SK텔레콤 대리점 앞에 유심(USIM)을 교체하려는 가입자들이 길게 줄을 서서 기다리고 있다. SK텔레콤은 28일부터 유심을 무료로 교체한다고 발표했지만, 불안감이 커진 가입자들은 주말 내내 유심을 교체하기 위해 매장마다 몰렸다./연합뉴스

27일 오후 2시 40분쯤 서울 중구의 SK텔레콤 한 매장. 입구에는 “금일 유심(USIM) 카드 없습니다”라고 적힌 안내문이 붙어 있었다. SK텔레콤이 원래 오는 28일부터 가입자들을 대상으로 전국 무료 유심 교체를 해준다고 발표(지난 25일)했지만, 불안감을 느낀 가입자들이 주말부터 몰렸기 때문이다. 근처에 사는 직장인 서모(43)씨도 이날 매장을 찾았다가 발길을 돌렸다. 이 매장 직원은 “자비(1대당 7700원)로 유심을 교체하는 고객들에겐 추후 환급해준다는 방침이 함께 나오면서 우리 매장에 있던 유심도 모두 어제(26일) 떨어졌다”고 했다.

SK텔레콤 주요 매장들은 주말 내내 유심 교체를 원하는 고객들로 북새통을 이뤘다. 매장 앞에 줄을 서서 대기하는 모습들이 목격됐을 뿐 아니라, ‘유심 재고 없음’이란 안내문을 내건 매장들도 여럿 볼 수 있었다. 인터넷 커뮤니티 등에선 “3~4군데를 찾아서 돌아다니다가 간신히 유심을 교체했다” 등의 경험담이 올라오기도 했다. 업계 관계자는 “평상시 수도권 내 주요 매장에서도 많아야 200개 정도의 유심을 갖고 있는데, 갑자기 수요가 몰리니까 감당을 못 한 것”이라고 했다.

하지만 이 같은 상황을 놓고 보안 전문가들 사이에선 “아직 유심 정보 외에 다른 어떤 개인 정보들이 유출됐는지 완전히 파악된 상황은 아니지만 지금까지 확인된 유출 정보만 보면 공포감이 너무 지나치게 확산된 측면이 있다”는 지적이 나오고 있다.

그래픽=이철원

장항배 중앙대 산업보안학과 교수는 “유심 정보가 유출된 다른 개인 정보와 결합돼 악용될 우려가 전혀 없는 것은 아니지만 지금까지 밝혀진 유심 정보가 일부 유출된 것만으로 과도한 우려를 할 필요는 없다”고 말했다. 실제로 2년 전인 지난 2023년 LG유플러스에선 가입자 29만여 명의 유심 일부 정보(가입자 휴대전화 번호와 고유번호)를 비롯해 이름·생년월일·주소·이메일 등이 함께 유출된 사건이 발생했지만, 이를 기반으로 복제폰(유출된 정보로 만든 유심이 들어간 폰) 피해가 따로 신고된 것은 현재까지 없다. 앞서 2022년 가입자의 휴대전화가 갑자기 먹통이 된 뒤 가상 자산을 도난당했다는 KT 가입자들의 피해 사례(약 40건)가 경찰에 접수된 뒤, 통신사들이 서울경찰청 사이버수사대와 협력해 통신망 관리 시스템(FDS)을 개발했었다. 이는 본인의 휴대폰과 같은 유심 카드 정보로 또 다른 복제된 단말기가 작동하면 복제된 단말기의 작동을 강제로 중단시켜 버리는 시스템으로 지금도 운영 중이다. 이번 SK텔레콤의 유심 정보 해킹으로 아직 피해가 발생하지 않는 것도 이 같은 시스템의 역할도 있을 것으로 보인다.

다만 이 시스템이 본인 휴대폰이 충전 부족으로 꺼져 있거나 비행기 모드 등으로 전환된 경우 감지하기 어려운 사각지대가 일부 있지만 확률적으로 높지 않다. 더욱이 이런 점을 보완하기 위해 ‘유심 보호 서비스’까지 나와 있다. 등록한 단말기가 아닌 어떤 단말기에서도 유심카드 정보만으로 작동할 수 없게 한 것이다. 김승주 고려대 정보보호대학원 교수는 “통신사의 유심 보호 서비스에 가입하는 것이 지금으로선 가장 합리적인 방안”이라고 했다.

또 일부에서 제기되는 유심 정보 유출로 금융 계좌에 있는 돈을 손쉽게 빼낼 수 있다는 등의 우려도 과도한 불안감이란 분석이다. 김승주 교수는 “설사 복제폰이 만들어지더라도 전자금융거래에서는 금융인증서, OTP(일회용 비밀번호 생성기), 계좌 비밀번호 등이 모두 필요하기 때문”이라고 했다. 다만 사건 발생 일주일이 되도록 해킹의 원인이나 피해 규모조차 파악되지 않고 있는 것에 대한 비판은 있다. 이에 대해 보안 전문가는 “흔적을 남길 정도라면 통신사의 보안망을 뚫는 것조차 못했을 것”이라며 “워낙 정교하게 해킹을 했을 가능성이 높아 이를 확인하는 데 상당한 시간이 걸리는 것”이라고 말했다. 그럼에도 불구하고 이희조 고려대 교수는 “정부와 SK텔레콤이 신속하게 조사 결과를 공개해야 현재 혼란스러워하는 이용자들을 진정시킬 수 있을 것”이라고 말했다.

☞유심(USIM·범용 가입자 식별 모듈)

휴대폰을 개통할 때 통신사가 폰에 넣어주는 탈부착식 소형 칩. 통신사로부터 부여받은 휴대폰 번호, 식별 번호 등과 같은 정보가 들어간다. 통신사는 자사 망에 접속하려는 휴대폰 이용자의 유심 정보와 통신사 서버에 보관 중인 내용이 일치하는지 비교해 자사 가입자 여부를 확인한다. 이용자가 개통 후 유심에 저장한 지인 연락처 등은 통신사 서버에 보내지지 않기 때문에 해킹된 유심 정보에 포함되지 않는다.