SK텔레콤 해킹 사태로 '심 스와핑(SIM Swapping)'을 비롯한 민감 정보 악용 범죄 등에 관한 우려가 커지고 있다.
23일 SKT는 현재까지는 이번 해킹으로 가입자 성명, 주민등록번호, 주소, 이메일 등 정보는 유출되지 않은 것으로 파악하고 있지만, 유심이 가입자의 다수 민감정보를 담고 있는 만큼 파장을 축소해 보긴 어려운 상황이다.
통신업계에 따르면, SKT가 사내 시스템에 악성 코드를 심는 해킹 공격을 당해 유출된 것으로 의심되는 유심 관련 정보는 이동가입자식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등이다.
이에 따라 실제 유심정보를 도용, 복제해 개인 금융자산을 갈취하는 '심 스와핑'으로 국내외 수사 당국과 금융 보안 업계에 비상이 걸렸던 사례들도 거론되고 있다.
심 스와핑은 스마트폰 등 개인 통신 단말기를 이용하는 통신서비스 가입자의 개인 신원 식별 모듈인 유심의 정보를 도용해 각종 금융정보 등에 접근하는 방식의 범죄다.
우리나라에선 2022년 서울경찰청 사이버범죄수사대가 약 40건의 심 스와핑 피해 의심 사례에 대해 수사를 진행했는데, 당시 피해자들은 휴대전화가 갑자기 먹통이 되고 '단말기가 변경됐다'는 알림을 받은 뒤 적게는 수백만 원에서 많게는 수억 원 상당의 가상자산을 도난당했다고 밝혔다.
SKT 역시 해킹으로 인한 불법 유심 제조 우려를 의식하고 있다.
SKT는 불법 유심 복제와 관련해 고객이 불안감을 덜 수 있도록 자사 '유심보호서비스' 안내에 적극적으로 나서겠다고 밝혔다. 유심보호서비스는 타인이 고객의 유심 정보를 복제 또는 탈취해 다른 기기에서 통신 서비스에 접속하는 것을 차단해 주는 무료 서비스다.
SKT는 해당 서비스에 관해 이날부터 전 고객을 대상으로 서비스 가입 권장 문자메시지(MMS)를 순차적으로 발송할 예정이다.
비정상 인증 시도 차단(FDS) 강화 등 조치도 더해졌다.
하지만 이용자들의 불안은 가시지 않고 있다. 해킹으로 인해 유출된 정보의 구체적인 항목, 규모는 아직 특정되지 않은 상태다.
관련 조사를 진행 중인 과학기술정보통신부는 SKT는 물론 KT, LG유플러스 등 다른 이동통신사의 정보보호최고책임자(CISO)와 매일 소통하며 이상 징후를 점검하고 있다고 밝혔다.