SKT 유심 해킹 사태, 심 스와핑(SIM Swapping)의 위협

최근 SK텔레콤(SKT)에서 유심(USIM) 정보 유출 사건이 발생했다. SKT는 2025년 4월 18일 오후 6시 9분 네트워크 인프라에서 비정상적인 트래픽을 탐지했고, 다음 날 오후 11시 경 가입자의 전화번호, 국제이동통신가입자식별번호(IMSI), 가입자 인증키(KI)와 같은 민감한 유심 정보가 외부로 유출되었음을 공식 발표했다. 국내 1위 통신사의 인증 인프라가 뚫렸다. 그것도 우리가 손에 늘 쥐고 다니는 스마트폰의 가장 깊숙한 곳에서.

이 사건이 중요한 이유는 단순한 개인정보 유출이 아니다. 우리를 '우리 자신'으로 증명해주는 권한, 그 핵심 키가 털렸기 때문이다. 그렇게 되면 심 스와핑과 같은 사이버 공격에 매우 취약하며, 이미 해외에서도 수백만 달러 규모의 금융 피해와 유명인의 SNS 계정 탈취 사례 등 심각한 피해를 초래한 바 있다.

심 스와핑(SIM Swapping)이란 무엇인가?

유심(USIM)은 스마트폰 속 '신분증' 같은 존재이다. 이 작은 칩 안에는 이름이나 주민등록번호는 없지만, 전화번호와 가입자 식별번호, 그리고 통신사 인증키처럼 디지털 세계에서 당신으로 인증해주는 핵심 정보들이 들어 있다.

심 스와핑은 해커가 피해자의 유심 정보를 탈취하거나 통신사를 속여 유심을 재발급받는 방식으로 이루어진다. 그렇게 탈취한 번호로 인증 문자 메세지를 가로채고, 피해자인 척 각종 온라인 서비스에 접근하는 것.

결국, 피해자는 아무런 알림도 없이 휴대폰 번호의 통제권을 잃게 된다. 이후 피해자들에게 전송되는 각종 인증 문자를 공격자가 대신 받게 되어 피해자의 온라인 서비스들이 무방비 상태로 노출된다.

심 스와핑, 왜 위험한가?

심 스와핑이 위험한 이유는 눈치채기도 어려운 방식으로 이뤄진다는 점과 심각한 범죄로 쉽게 확대될 수 있다는 점이다. 평소처럼 휴대폰을 쓰다가 는 순간 갑자기 '서비스 없음' 메세지를 보게 되고, 그 짧은 사이에 당신의 이름으로 금융 계좌가 털리고, 이메일이 열리고, SNS 계정이 넘어간다.

요즘은 휴대폰 번호 하나면 은행, 공공서비스, 쇼핑몰 로그인같은 이중 인증(2FA)을 사용하는 서비스까지 대부분의 인증이 가능하다. 즉, 번호를 탈취당하면 사생활 정보가 쉽게 유출될 수 있고 이는 복제 당한다고 봐도 무방하지 않을까 싶다.

심 스와핑의 기술적·법적 허점

심 스와핑의 공격이 가능해지는 가장 큰 이유는, 통신사의 인증 인프라에 저장된 유심 정보(IMSI, KI 등)가 법적으로 '보호 대상'으로 충분히 취급되지 않는다는 점이다.

IMSI나 KI는 사용자의 신원을 디지털 환경에서 확인하는데 핵심적인 값임에도 불구하고, 국내 현행법상 이들 데이터는 개인정보로 명확히 분류되지 않고 암호화 의무 대상에서 제외되어 있다.

기술적으로 해당 정보가 암호화되지 않은 채 통신사 시스템에 저장 및 관리되고 있으며, 내부 접근 통제 및 이상 징후 탐지 체계도 부족한 경우이지 않을까 싶다. 법적으로는 이러한 정보 유출 시 사고 이후의 대응 의무는 있지만 예방을 위한 기술적 조치 의무는 상대적으로 약하다.

결국, 통신사 보안 체계가 해킹을 당하거나, 내부자가 악용하거나, 기술적 취약점이 경미하게라도 존재할 경우, 매우 중요한 인증 키 정보가 무방비로 노출될 수 있는 구조인 것이다.

시사점

이번 사건을 통해 중요한 시사점 중 하나는 기업이 보유한 데이터의 등급과 중요도를 명확히 정의하고 관리하는 체계적 접근이 필요하다는 점이다.

특히 유심 정보처럼 중요한 인증 데이터는 가장 높은 등급으로 분류해 암호화를 의무화하고, 누가 언제 접근했는지를 꼼꼼히 통제하고 모니터링 하는 보안 시스템을 갖춰야 한다. 이런 데이터 관리 및 보안 규제를 명확히 규정하고 강화할 필요가 있다.

이미 해외에서는 심 스와핑으로 인해 수많은 피해가 발생하고 있고, 우리도 이제 더는 예외가 아니다.

개인과 기업 모두 이 위협을 심각하게 인식하고, 지금보다 훨씬 강력한 보안 체계와 법적 보호 장치를 마련해야 한다.

결국, 심 스와핑의 피해를 막으려면 개인정보 보호를 강화하고 인증 시스템 자체를 더 안전하게 바꾸는 것이 가장 근본적인 해답이다.