'디지털 클론' 시대 열렸다···SKT 유심 해킹은 초국가적 위협

단순 해킹 아닌 개인 신원 증명 털린 것 조용하고도 빠르게 피해 확산하는 특징 2차 인증 하나라도 뚫려도 기관 무력화 정부, 기업 어느 곳도 안전지대 없어져

2025-04-29     이상헌 기자
가입자 유심(USIM) 정보를 탈취당한 SK텔레콤이 유심 무료 교체 서비스를 시작한 지 이틀째인 29일 서울 시내 한 SKT 대리점에 라는 문구가 쓰여 있다. /연합뉴스

이동통신 가입자 인증을 담당하는 유심(USIM, Universal Subscriber Identity Module) 카드가 해킹되면 피해는 단순한 정보 유출을 넘어 개인의 디지털 신원 증명 자체가 훼손된 것을 의미한다. 최근 SK텔레콤 유심 정보 탈취 사태는 디지털 인증 체계를 넘어 초국가적 안보 위기를 드러낸 사건으로 평가된다 

28일 여성경제신문 취재를 종합하면 이번 사태는 단순한 피싱이나 앱 기반 공격이 아니라 유심 카드 내부 데이터를 탈취해 복제본을 생성한 정밀 해킹으로 추정된다. 해커는 원래 유심에 담긴 국제 가입자 식별번호(IMSI)와 인증키(Ki) 등 핵심 데이터를 확보한 뒤 이를 별도의 칩에 복제해 동일한 번호로 작동하는 유심을 만들어냈다. 유심 정보는 통신사 네트워크상에서 ‘본인 여부’를 인증하는 신원 증명이다.

즉 해커가 유심 정보를 손에 넣는 순간 피해자와 완전히 동일한 디지털 신원을 가진 또 하나의 존재가 만들어지는 갓이다. 통신망은 이를 구별하지 못하고 해커는 원래 사용자처럼 각종 인증 메시지·통화·금융 서비스에 접근할 수 있게 된다. 이는 단순 정보 유출을 넘어 개인의 디지털 인격이 복제된 것과 다름없다.

문제는 이러한 복제 유심이 통신사 입장에서 정상적인 기기 변경으로 보일 수 있다는 점이다. 복제 유심이 먼저 네트워크에 접속하면 원래 유심은 인증이 끊기거나 차단되는데 피해자는 일시적 통신 장애로 오인하고 조치를 놓치기 쉽다. 이 순간부터 문자, 통화 기반 인증, 각종 보안코드가 해커의 복제 폰으로 업데이트된다.

피해자는 자신이 해킹당하는 줄도 모른 채 주요 계정과 금융 접근권을 서서히 잃어버린다. 심지어 기존 스마트폰이 정상 작동하더라도 인증 경로는 이미 복제 폰으로 전환된 뒤일 수 있다. 이처럼 복제 유심 공격은 탐지보다 빠르게 실행되고 피해는 조용히 확산하는 것이 특징이다.

게다가 SK텔레콤이 제공하는 유심 보호 서비스는 이러한 복제 문제를 해결하지 못한다. 해당 서비스는 네트워크 연결 이후 단말기 변경이 확인될 때만 작동하는데 복제 유심은 애초에 네트워크 연결 전 단계에서 정보 복사가 이뤄지므로 탐지할 기회조차 없다. 이로 인해 복제 유심 공격은 사실상 무방비 상태에서 진행되고 신원 인증을 사용하는 모든 금융·정부 시스템이 잠재적 피해 범위에 들어간다.

구체적으로 2차 인증(2FA) 과정에서 발생할 수 있는 위험은 다음과 같다. 이동통신사가 IMSI와 Ki를 전송받아 서버와 인증을 맞추는 연장선에서 다양한 2차 인증 수단이 유심을 통해 작동한다. 유심이 털리면 단순 정보 유출이 아니라 개인의 모든 디지털 기반 활동이 해커에 넘어가는 셈이다.

2차 인증은 비밀번호와 휴대전화(SIM)를 결합해 보안을 강화하는 구조다. 하지만 SIM 복제가 현실화하면 이 체계는 무력화돼 해커는 원래 사용자로 가장해 모든 고급 정보에 접근할 수 있게 된다. 주민등록증과 마찬가지로 '가지고 있는 것'에 의존한 보안 체계의 한계 때문이다. SK텔레콤의 '유심 보호 서비스' 역시 도둑이 집 열쇠를 몰래 복사해 갔지만 '집 문이 열리면 경고'하는 시스템만 갖춘 꼴이다.

복제 유심을 통해 수신된 OTP는 이체 승인, 계좌 조회, 마이데이터 인증 등에 그대로 사용될 수 있다. 특히 기업용 공인인증서가 스마트폰 기반으로 관리되는 경우 복제 유심은 해당 인증서를 불법 백업하거나 외부로 반출하는 통로가 된다. /여성경제신문DB

국가정보원·정부 기관·기업들의 권고가 사후약방문이란 얘기가 나오는 이유다. 최근 네이버, 카카오, NHN, 넷마블 등 주요 IT 기업과 삼성 계열사가 SK텔레콤 유심을 사용하는 임직원들에게 유심 교체 및 유심 보호 서비스 가입을 권고하는 사내 공지를 내놨다. 하지만 전문가들은 "유심을 복제 당한 경우 단순 교체만으로는 복제 폰이 남긴 보안 위협을 제거할 수 없다"고 경고한다. 

SK텔레콤 유심 해킹은 단순한 통신 보안 사고가 아니라 기업 및 금융 인프라 전반에 걸친 탈취 공격의 시작일 수 있다. 유심은 단순한 통신 도구를 넘어, 기업 내부망(VPN), 전자결재 시스템, 이메일 인증, 금융 OTP 수신 등 다양한 인증 체계의 핵심으로 작동하고 있기 때문이다.

특히 전화번호를 기준으로 2차 인증을 설정해 놓은 경우가 많은데 유심이 복제되면 해커는 해당 임직원의 권한을 그대로 가장해 내부 시스템에 접근할 수 있다. 이 경우 계정 자체는 ‘정상 인증’을 받은 것으로 간주돼 탐지되기 어렵고, 실제로도 일부 IT 기업은 사내 고위직 계정을 통한 접근 이상 징후를 인지해 조사 중인 것으로 전해졌다.

금융권도 예외는 아니다. 복제 유심을 통해 수신된 OTP는 이체 승인, 계좌 조회, 마이데이터 인증 등에 그대로 사용될 수 있다. 특히 기업용 공인인증서가 스마트폰 기반으로 관리되는 경우 복제 유심은 해당 인증서를 불법 백업하거나 외부로 반출하는 통로가 된다. 이로 인해 법인 명의 금융거래 위조나 조달 시스템 해킹도 가능해진다. 전문가들은 “복제 유심을 통한 공격은 단말기 분실이나 앱 해킹보다 훨씬 탐지하기 어려운 형태”라며, 단순한 유심 교체만으로는 이미 노출된 위험을 되돌릴 수 없다고 경고하고 있다.

결국 이번 사태는 개인 정보 보호 소동을 넘어 국가 차원의 디지털 보안 체계 전면적 위기를 알리는 사안으로 해석된다. 해외 정보기관 한 관계자는 "유심은 '개인이 가지고 있는 것'이라는 이유로 2FA에 사용되지만 복제가 가능하다는 점에서 본질적으로 보안성이 매우 낮은 수단"이라며 "이번 사태를 단순 민간 사고로 축소하면 국가 기반 인프라 전체가 위험에 빠질 수 있다"고 경고했다.

여성경제신문 이상헌 기자 
liberty@seoulmedia.co.kr