유심 해킹 논란, 금융·통신 보안이 흔들린다

경제

소하모 2025. 6. 13. 08:58

스마트폰 속 조그만 칩, USIM(Universal Subscriber Identity Module).
대부분은 ‘전화기 작동에 필요한 부품’ 정도로 여깁니다. 하지만 이 칩엔

쉽게 말하면, 이건 디지털 신분증이자 금고 열쇠입니다.
이게 유출된다면, 나 대신 누군가가 내 전화번호를 복제해 쓸 수 있는 거죠.

**SIM 스와핑(SIM Swapping)**은 단순 해킹이 아닙니다.
이건 통신망을 이용해 신원을 탈취하는 정교한 범죄입니다.

핵심은 이거예요:

즉, 해킹 도구 없이도 인증 체계를 완전히 장악할 수 있는 수법이라는 거죠.

최근 유출된 정보는 일반 개인정보 수준이 아닙니다.
IMSI(국제이동가입자식별번호), Ki(Key Identifier, 통신 인증키) 등
통신망에 접속할 때 쓰는 핵심 암호 코드까지 빠져나간 것으로 추정돼요.
특히 IMSI는 스마트폰에서 SIM 카드 사용자를 유일하게 식별하는 번호라서
복제가 가능해지면 이름, 번호, 인증코드 없이도 내 전화번호를 훔칠 수 있게 되는 거예요.

이번 유출 경로로 의심받는 건 통신사 내부망 침입이에요.
통신사들이 가진 유심 관리 서버에 접근해,
**가입자별 유심 암호 데이터베이스(DB)**를 통째로 빼간 정황이 포착됐죠.

일부 보도에 따르면 해킹에 사용된 방식은

정부와 통신사는 말합니다.
“직접적인 금융 피해는 아직 없다.”
하지만 이건 어디까지나 지금까지 보고된 것만 기준입니다.

SIM 스와핑의 특징은 ‘조용히, 정교하게’ 진행된다는 것.
즉, 피해자가 자신의 정보가 탈취된 사실을 한참 뒤에야 알아차릴 수도 있다는 점이
이번 사안에서 더 무서운 부분이죠.

보안은 복잡할 필요 없어요. 기본기를 철저히 하는 게 최선입니다.

① 유심 보호 잠금 설정하기
통신사 앱에서 제공하는 유심 재발급·변경 제한 기능을 반드시 켜세요.
SKT의 경우 ‘유심 잠금 서비스’가 무료입니다.

② 이중 인증(2FA) 체계로 변경
SMS 인증은 이제 너무 약합니다.
→ OTP(One Time Password), **인증앱(PASS 등)**으로 바꾸는 게 안전해요.

③ 유심 교체 주기 점검
오래된 유심은 복제 위험이 높아지므로
→ 3~5년 주기로 통신사 방문해 새 칩으로 교체 추천

이번 해킹 사태는 단순한 사고가 아니라 **‘시스템적 허점이 드러난 사건’**입니다.

ISMS(Information Security Management System)
: 기업이 보안 관리 체계를 잘 운영하고 있는지 점검하는 국가 인증인데
→ 이걸 갖고 있어도 실제 침투를 막지 못했다면, 인증만으론 부족하다는 뜻이죠.
모의해킹(Penetration Testing)
: 해커처럼 시스템을 공격해보는 보안 점검 방식.
→ 많은 보안 전문가들이 이걸 의무화해야 한다고 주장 중입니다.

우리가 통신망을 쓰는 방식이 근본적으로 바뀌고 있어요.
eSIM, 디지털 인증, 무현금 결제…
모든 게 ‘폰 하나’로 가능해지는 사회에서,
유심 해킹은 디지털 자아가 납치되는 사건이라고 해도 과언이 아닙니다.

그래서 이젠 “어차피 해커는 뚫는다”는 인식을 버리고,
→ 뚫리더라도 감지하고 대응할 수 있는 구조로 가야 해요.