SKT "유심 복제되더라도 자산 탈취 위험성 없다"…경찰은 전담수사팀 편성

가입자 유심(USIM) 정보를 탈취당한 SK텔레콤이 유심 무료교체 서비스를 시작한 지 이틀째인 29일 서울 시내 한 SKT 대리점에 'SK텔레콤은 끝까지 책임을 다하겠습니다'라는 문구가 쓰여져 있다. 연합뉴스

SK텔레콤은 서버 해킹 사건으로 인한 유심 보안 문제에 대해 "유출된 정보로 유심이 복제되더라도 자산 탈취 위험성은 없다"고 30일 밝혔다.

SK텔레콤은 이날 '유심을 둘러싼 오해에 관한 설명'이라는 제목의 보도자료를 통해 "유심과 당사의 기술적 조치를 중심으로 부정확한 사실을 바로잡고 정확한 정보를 전달하고자 한다"고 이같이 말했다.

SK텔레콤 설명에 따르면 유심에는 ▷국제 이동통신 가입자 식별번호(IMSI), 가입자 인증키(Ki) 등 가입자를 식별하고 인증하기 위한 정보 ▷'모바일 티머니'나 인증서 등 사용자가 유심에 직접 저장한 정보가 들어간다.

전자는 네트워크(망)에 연동되지만, 후자는 연동되지 않는다. 따라서 이번 유출 사고와는 관련 없는 정보라는 게 SK텔레콤 측 설명이다.

앞서 과학기술정보통신부가 SK텔레콤 가입자 유심 정보 해킹 사태 조사를 위해 구성한 민관합동조사단은 29일 1주간 진행한 1차 조사 결과를 발표했다.

조사단은 지금까지 SK텔레콤에서 유출된 정보를 확인한 결과 가입자 전화번호, 가입자식별키(IMSI) 등 USIM 복제에 활용될 수 있는 4종과 유심 정보 처리 등에 필요한 SK텔레콤 자체 관리용 정보 21종이 빠져나갔다고 설명했다. 다만, 단말기 고유식별번호(IMEI) 유출은 없었다고 덧붙였다.

SK텔레콤은 "탈취한 이들 유심 정보로 유심만 복제되는 것"이라며 "유심 복제만으로는 은행이나 가상자산 계좌가 탈취되거나 공인인증서 등이 복제되지 않는다. 유심 정보에 주민등록번호, 계좌번호, 은행 공공인증서(OTP) 등 정보가 담겨 있지는 않기 때문"이라고 했다.

또한, 불법 복제 유심으로 해커가 휴대전화 재부팅을 유도한 뒤 심 스와핑에 성공했다 하더라도 금융거래에 필요한 개인정보나 비밀번호 등은 없어 추가적인 범죄 행위 없이는 금융자산을 탈취할 수 없다고 강조했다.

그러면서 유심 보호 서비스 가입으로 유심 복제에 따른 피해를 막을 수 있다고 거듭 강조했다.

SK텔레콤은 유심 비밀번호는 유심을 잠가 유심을 도난당하거나 물리적으로 탈취 당한 경우 다른 사람이 쓰지 못하도록 하는 보안 기능으로 이번 사고와는 관련이 없다고 덧붙였다.

한편, 서울경찰청 사이버수사과는 30일 SK텔레콤 유심정보 해킹사건과 관련해 전담수사팀을 편성했다.