[깐팩] 과기부는 뭘 감추려 하나···SKT 클론 5만 개 눈앞인데

IMEI 아니라 IMSI/Ki가 문제 4종 유출로도 신원 복제 충분 삼성 Knox 이미 뚫렸을지도 디지털 주권 붕괴에 보상 운운

2025-04-30     이상헌 기자
SK텔레콤이 28일부터 2300만명에 달하는 전 고객을 대상으로 유심 무상 교체를 시행하기로 결정했다. 사진은 지난 25일 서울 한 SKT 대리점에서 한 직원이 유심 카드를 들어 보이고 있다. /연합뉴스

SK텔레콤 유심 정보 탈취 사태가 대한민국을 뒤흔들고 있다. 그러나 정부는 "단말기 고유식별번호(IMEI)가 유출되지 않았다"고 발표하며 핵심 쟁점을 비껴갔다. IMEI는 복제 유심과 무관한데도 이를 강조함으로써 정작 국민이 직면한 위기 상황은 흐려졌다.

29일 여성경제신문이 깐깐한 팩트 탐구 코너를 통해 과학기술정보통신부 입장 자료를 검토한 결과 이번 발표는 하드웨어 정밀 해킹을 통한 복제 사실을 철저히 감추기 위한 논점 일탈성 해명으로 파악됐다.

글로벌 해킹 대응 정보공동체에 따르면 이번 사건의 발단은 국제 가입자 식별번호(IMSI)와 인증키(Ki) 유출이다. 과기부가 강조한 IMEI는 물리 기기 식별 장치일 뿐이며 복제 유심은 IMEI 없이도 정상 작동한다. 결국 정부 발표는 불안을 덜기 위한 것이라기보단 오히려 본질을 흐리기 위한 시도로 보인다.

과기부는 더 나아가 "25종 중 4종만 복제에 활용될 수 있다"며 위험을 수치로 축소했다. 그러나 중요한 건 양이 아니라 속성이다. IMSI와 전화번호만 있으면 복제 유심은 원래 주인처럼 작동할 수 있다. 이는 곧 ‘디지털 클론’을 만드는 기술이다. 나머지 21종이 무사해도 핵심이 털렸다면 게임은 끝이다.

정부가 추천한 SK텔레콤 유심 보호 서비스는 복제 유심 공격을 막지 못한다. 이 서비스는 단말기 변경 후 네트워크에 연결됐을 때만 작동하기 때문이다. 복제 유심 공격은 네트워크 연결 전에 정보를 복사해 별도 기기에 삽입하는 방식이다. 즉 해커가 ‘열쇠를 복사해 간’ 상황에서 '문이 열리면 알람'이 울리는 구조다. 사후약방문인 셈이다.

정부는 BPF Door 계열 백도어가 사용됐다고 밝혔다. 어느 정도 맞는 말이지만 의도가 보이는 해명이다. '공격이 고급이라 어쩔 수 없었다'는 변명으로 초기 대응 실패를 희석시키려는 것이다. 해킹 기술의 고도화와 별개로 인증 데이터 보호 실패는 통신사와 정부 시스템의 구조적 결함이자 관리 실패다.

이뿐 아니라 "예약 신청 시점부터 보상하겠다"는 과기부 발표는 환불 프레임으로 본질을 덮으려는 시도다. 이번에 유출된 것은 단순 개인 정보가 아니라 '국민의 디지털 인격' 그 자체다. 디지털 금융, 메신저, 이메일, 클라우드까지 피해자는 '자기 자신'이 해커에게 복사된 셈이다. 몇만원 보상으로 끝날 문제가 아니다.

특히 이번 사태는 단순한 통신 사고가 아니라 국가 사이버 안보 체계가 초국가적 위협(Supranational Crisis)에 노출된 사례라는 지적이 제기된다. 즉 이를 감추고 축소하려는 정부 발표는 2차 피해를 키우는 구조라는 얘기다. ‘복제 유심’은 해커 조직과 연개된 수십개 디지털 클론을 만든다.

패치조차 통하지 않는 하드웨어 장치에 대한 해킹의 위험성은 단순한 통신 영역을 넘어선다. 국내 주요 서비스 상당수가 ‘전화번호 기반 2차 인증(2FA)’ 구조를 채택하고 있어 복제는 곧 인증 체계의 무력화로 이어질 수 있다. 피해가 개별 사용자에 그치지 않고 연쇄적으로 확산할 가능성이 존재한다.

먼저 금융권에서는 대부분의 은행, 증권사, 간편결제 플랫폼이 문자 기반 인증을 활용하고 있다. 문자 수신 권한이 해커에게 넘어갈 경우 본인 인증 절차를 우회해 계좌 접근이나 간편결제 이체가 가능해진다. 전화번호 자체가 금융 보안의 열쇠로 기능하고 있다는 의미다.

SK텔레콤으로부터 유출된 9.7GB의 데이터는 유심 10만~30만 개 분량의 복제 가능 정보를 포함한 것으로 추정된다. / 정리=이상헌 기자

정부·공공 부문도 예외가 아니다. 건강보험, 세무, 고용보험, 전자민원 서비스 등 각종 행정 처리 절차에서도 전화번호 기반 인증이 활용되고 있다. 특히 패스(PASS) 등 민간 인증 수단이 공공 업무에 통합되면서 유심 복제에 따른 접근 가능 범위는 더 넓어졌다.

민간 대기업과 정보통신(IT) 기업의 업무 시스템 역시 2차 인증에 의존하는 경우가 많다. 예를 들어 삼성그룹 전 계열사가 도입한 케이녹스(Knox) 로그인 시에도 전화번호 기반 인증 절차가 적용되므로 외부에서 내부망으로의 우회가 가능해진다. 특히 고위 임직원 계정이 노출될 경우 기밀 자료나 전략 문서로의 접근 가능성이 있어 실질적인 보안 사고로 번질 위험이 크다.

결국 SK텔레콤 유심 해킹 사태는 통신사의 일탈이 아니라 사이버 안보 체계 자체가 무너지고 있음을 알리는 경고음이다. 보안업계 관계자는 "이제 필요한 것은 금전적 보상이 아니라 디지털 클론 시대에 내가 나임을 증명할 수 있는 새로운 시스템을 긴급히 구축하는 일"이라고 강조했다.

한편 국회 과학기술정보방송통신위원회 조사 결과 이번 SK텔레콤 유심 해킹 사태에서 유출된 데이터는 약 9.7GB로 추산된다. 유심 1개당 복제에 필요한 핵심 텍스트 정보가 약 1~2KB 수준임을 감안할 때 단순 계산으로는 최대 600만 개까지의 유심 정보가 포함될 수 있는 규모다. 중복 데이터나 시스템 로그, 메타정보 등을 고려한 가장 보수적인 시나리오로 계산해도 최소 5만여명의 가입자의 디지털 도플갱어 출현이 임박한 상황이다.


여성경제신문 이상헌 기자 
liberty@seoulmedia.co.kr