[뭔일easy] "나 이런 사람이야" 디지털 신분증 '유심'의 정체

산업계에서 갑자기 튀어나온, 혹은 필연적으로 등장한 이슈의 전후사정을 살펴봅니다. 특정 산업 분야의 직‧간접적 이해관계자나 소액주주, 혹은 산업에 관심이 많은 일반 독자들을 위해 데일리안 ICT융합부 기자들이 대신 공부해 쉽게 풀어드립니다.

AI 이미지

#포지티브적 해석 : 보안 강국 도약 위한 경종.

#네거티브적 해석 : 소도 잃은 고객이 외양간도 고치네.

우리는 태어나면서 고유한 주민등록번호를 부여받습니다. 8x, 9x, 0x 등으로 시작하는 이 숫자는 나를 식별하는 고유 번호입니다.

스마트폰 속에도 나를 증명하는 손톱만한 칩이 있습니다. 바로 요즘 SK텔레콤 가입자들 사이에서 최고 화두인 유심(USIM·Universal Subscriber Identity)입니다. 말은 어렵지만, 전 세계 어디서든 통신사 네트워크에 접속할 수 있도록 내 신원을 인증하고 저장하는 기능을 수행합니다.

이 작은 플라스틱 카드가 어떤 역할을 할까요? 유심은 사용자의 고유 신원 정보를 저장해 통신망에 접속할 때 '이 사람이 맞다'고 인증해줍니다. 전화번호와 데이터 요금제를 유지하고, 음성통화·문자·인터넷 사용이 가능하게 하는 역할도 유심이 맡고 있습니다.

휴대폰을 바꿀 때 유심만 옮기면 전화번호와 일부 개인 정보까지 그대로 이어지죠. 이 편리함 속엔 '보안'이라는 또 다른 이름의 '책임'이 숨어 있습니다.

우리가 잘 아는 교통카드 서비스 T머니도 유심과 연관되어 있습니다. 스마트폰에는 NFC(근거리 무선통신) 기능이 탑재돼 있고, 일부 경우에는 유심 속 보안 모듈에 T머니 잔액, 거래 내역, 인증 정보 등이 저장돼 결제 처리가 이뤄집니다. 따라서 유심은 통신뿐 아니라 결제 기능까지 일부 맡고 있다고 할 수 있습니다.

이처럼 유심은 단순한 통신용 칩이 아니라, 사용자의 '디지털 신분증'과 같은 가치를 지닙니다. 중요한 만큼 정보 유출은 절대 있어서는 안 됩니다.

만일 유심 정보가 유출되거나 해킹되는 경우 심각한 보안 위협이 발생합니다. 먼저 우려되는 것은 금융 피해입니다. 유심 정보가 탈취되면 해커가 '심 스와핑(SIM swapping)' 수법으로 내 전화번호를 자신의 기기로 옮길 수 있습니다.

이 경우, 은행·전자지갑·암호화폐 등 금융 서비스의 인증 문자나 전화가 해커에게 전달돼 계좌 인출과 같은 금전 피해로 이어질 수 있습니다.

4월 28일 서울 송파동의 한 SK텔레콤 직영점에서 유심을 교체하려는 고객들이 길게 줄지어 서있다.ⓒ데일리안 이주은 기자

신원 도용 및 불법 개통도 큰 문제입니다. 유심 정보로 불법 유심칩을 만들어 신원을 도용하거나, 피해자 명의로 알뜰폰 회선을 개통해 범죄에 악용하는 사례도 있습니다. 피해자가 모르는 사이에 휴대폰이 해지되고, 새 회선이 개통된 경우도 있었습니다.

전화번호 기반의 2단계 인증도 무용지물이 됩니다. 많은 온라인 서비스가 전화번호 기반의 2단계 인증을 사용하는데, 유심이 해킹당하면 해커가 인증번호를 가로채 이메일, 소셜미디어, 클라우드 등 다양한 계정을 탈취할 수 있습니다.

최근 국내 1위 통신사 SK텔레콤(SKT)에서 고객 유심 정보가 해킹으로 탈취되는 일이 발생했습니다. 4월 19일 오후 11시경, 이 회사는 일부 정보가 악성코드로 유출된 정황을 발견하고 한국인터넷진흥원(KISA)에 신고했습니다. 이후 과학기술정보통신부는 민관합동조사단을 꾸려 일주일 뒤인 4월 29일 1차 조사 결과를 발표했습니다.

조사에 따르면 단말기 고유식별번호(IMEI)는 유출되지 않았지만, 가입자 전화번호, 가입자 식별키(IMSI) 등 유심 복제에 악용될 수 있는 정보 4종과 유심 정보 처리 등에 필요한 SKT 관리용 정보 21종이 유출된 것으로 확인됐습니다.

IMEI는 기기를, IMSI는 사용자를 식별합니다. 유심을 교체하면 새 유심에 새로운 IMSI가 부여되기 때문에 많은 SKT 고객들이 매장을 찾아 유심을 교체하려는 ‘오픈런’ 상황까지 벌어졌습니다.

정부와 SKT는 유심정보 유출에 따른 불안과 피해를 줄이기 위해 유심 교체와 더불어 '유심보호서비스' 가입을 권장하고 있습니다. 이 서비스는 타인이 내 유심 정보를 복제하거나 탈취해 다른 기기에서 사용하는 것을 막아줍니다. 누군가 내 유심을 빼 다른 폰에 삽입하려 하면, 자동으로 차단하거나 알림을 보내는 방식입니다.

전문가들은 근본적인 대책으로 유심 교체를 권합니다. 유심을 바꾸면 기존 유심 정보가 무효화돼, 해커가 내 번호를 도용하는 것을 원천 차단할 수 있다는 것입니다. 다만 재고 부족과 접근성 문제로 당장 교체가 어렵다면 유심보호서비스라도 가입하는 것이 현실적인 대안입니다.

SKT 유심 교체 신청 사이트 캡처

이조차도 고령자, 장애인 등 취약 계층에게는 쉬운 일이 아닙니다. SKT는 114 고객센터를 통해 직접 전화를 걸어 '유심보호서비스'를 안내하고, 고객이 동의하면 안내원이 직접 가입을 돕겠다고 약속했습니다.

이번 사건은 결코 가벼운 일이 아닙니다. 전국 2300만 SKT 가입자들이 유심 정보 유출에 들썩이고 있습니다. 온라인 커뮤니티에서는 "내 휴대폰으로 가상자산이 털리면 어떻게 하냐"는 글이 심심치 않게 올라옵니다.

정보 보안 불똥이 기업들로 튀면서 일부는 유심 교체를 독려하고, 몇몇 금융기관은 SK텔레콤 기반 인증을 제한하고 있습니다. 커뮤니티에서는 공동대응 카페까지 만들어지는 상황입니다. 가상자산 탈취 우려부터 인증체계 혼란까지, 여파는 개인을 넘어 산업·경제로 확산되고 있습니다.

현재로서는 정보보호서비스에 가입하거나 유심을 교체하는 것이 최선입니다. 의심스러운 문자나 전화는 차단하고, 주요 계정에는 2단계 인증을 설정해 추가 피해를 막아야 합니다.

이번 일을 계기로 기업은 물론 정부도 함께 실질적인 대응 방안을 마련해야 합니다. 같은 문제를 반복하지 않기 위해서는 정보 유출이 반복되는 구조적 원인을 뜯어보고 실질적인 보호 대책을 마련하는 데 공동으로 나설 필요가 있다는 것이지요.

국민 정보를 책임지는 통신사들은 그 위치에 걸맞게 보안 기술과 기준을 강화해야 하며, 정부도 인증 체계 정비에 적극적으로 나서야 합니다. 인증 절차와 내부 통제를 근본부터 손보지 않는다면, '디지털 강국'은 머나 먼 이야기가 될 것입니다. 정보 불안에 떠는 국민이 없는, 진정한 보안 강국 대한민국을 만들 때입니다.