휴대폰 소액결제 시도·네이버 해외 로그인, 해킹과 관련성 적어
(서울=연합뉴스) 조현영 기자 = SK텔레콤[017670] 해킹 사고 발생 이후 가입자들 사이에서는 스마트폰 업데이트를 위해 재부팅하는 사이 복제폰이 만들어지는 것은 아닌지, 금융 자산을 탈취당하는 것은 아닌지 불안감이 커지고 있다.
업계 관계자와 IT 전문가들은 일부 소문은 부풀려진 면이 있다며 경계해야 한다고 우려했다.
7일 IT 콘텐츠를 제작하는 유튜버 A씨는 SK텔레콤 해킹 관련 영상에서 "복제된 핸드폰으로 피해자 전화번호로 걸려 오는 모든 전화와 문자를 가로챌 수 있다"고 언급했다.
이에 대해 김용대 카이스트 전기공학부 교수는 언론을 통해 "현재 이동통신 표준상, 같은 가입자 정보를 가진 두 대의 단말이 동시에 망에 접속할 수 없기 때문에 복제 심(SIM)이 사용되더라도 즉각 탐지가 가능하고 비정상 인증 탐지(FDS) 시스템으로 차단할 수 있다"고 밝혔다.
이는 SK텔레콤 설명과도 일치한다. 류정환 인프라 전략기술센터 담당(부사장)은 지난 2일 취재진에게 "유심보호 서비스와 FDS로 인해 스마트폰이 복제되지 않지만, (설사 물리적 탈취 등 다른 방법으로) 복제된다고 해도 전화 두 개가 동시에 위치 등록을 할 수 없기에 그런 일은 있을 수 없다"고 말한 바 있다.
유심보호 서비스는 단말기와 유심을 한마디로 '용접'하는 효과가 있기에 다른 단말기에 복제된 유심이 들어가면 아예 작동하지 않고, FDS로 인해 스마트폰이 켜져 있는 상태에서는 동일한 유심이 아예 등록되지 않는다는 설명이다.
더욱이 지난달 29일 과학기술정보통신부 1차 조사 결과에 따르면 단말기 식별번호(IMEI)는 유출되지 않은 것으로 확인됐기에 복제폰 제작 시도는 불가능하다는 것이 SK텔레콤 설명이다.
한국인터넷진흥원(KISA) 또한 사고 초기에는 유출된 정보 유형을 알지 못해 다방면에서 주의를 당부했으나 현재는 복제폰 제작이 불가능하다는 입장이다.
다만 FDS가 스마트폰이 켜져 있는 상태에서만 작동한다는 설명 때문에 운영체제 업데이트 등으로 스마트폰이 재부팅되는 과정에서 복제폰이 만들어질 수 있는 것 아니냐는 우려가 나왔다.
SK텔레콤은 스마트폰이 꺼진 상태에서도 다양한 방법으로 이상 접속을 감지해 불법 접속을 막는다고 설명했다. 다만 구체적인 방법은 해커들이 악용할 여지가 있어 공개할 수 없다는 입장이다.
또 다른 유튜버 B씨는 "여태까지 털리던 개인정보와는 차원이 다른 문제"라며 "이번 SKT의 유심 정보 유출로 인해 금융 자산 탈취가 가능하다"고 언급했다. 이 영상은 조회수 132만회를 넘기며 관심을 받았다.
이 같은 주장에 대해 김승주 고려대학교 정보보호대학원 교수는 다른 유튜브 방송에 출연해 "유심을 복제하더라도 금융 피해가 발생하기는 어렵다"며 "예를 들어 계좌 이체를 하려면 공인인증서(공동인증서), 계좌 비밀번호, OTP 카드 등이 있어야 하는데 이런 정보들은 SK텔레콤에 없어서 인증키 값을 가져가도 금융 사고로 연계되지 않는다"고 밝혔다.
염흥열 순천향대 정보보호학과 교수도 "금융 앱은 2차 인증 수단으로 계좌 비밀번호나 보안카드, 금융인증서·공공인증서·OTP 등을 요구하고 있어 해커들이 추가로 이용자에게 스미싱 공격을 해서 성공해야만 금융 범죄가 발생할 수 있다"고 지적했다.
해킹 이후 휴대폰 소액결제 시도가 반복해서 발생한 사례에 대해서도 전문가들은 유출된 유심 정보만으로는 소액 결제가 불가능하며 다른 통로로 유출된 아이디, 패스워드, 이메일 주소 등을 통한 해킹 시도로 보인다고 밝혔다.
네이버나 마이크로소프트, 구글 등 사이트에서 해외 로그인 시도 실패 알림이 온다는 게시글에 대해서도 이번에 유출된 유심 정보와는 관련이 적다는 설명이다.
전문가들은 혼란한 상황일수록 링크 클릭을 통한 악성 애플리케이션 설치 등 2차 피해를 막는 데 집중해야 한다고 밝혔다.
한 보안 업계 관계자는 "보안 전문가도 아닌 유튜버들의 이야기가 검증이나 여과 없이 대중에게 전달돼 불안감을 조장하는 것은 바람직하지 않다"며 "스미싱 문자로 단말기 자체에 있는 개인 정보 유출을 소비자들이 더욱 조심해야 할 때"라고 말했다.
hyun0@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>