내 휴대폰은 안전한가? -SKT 유심(USIM) 해킹

---

내 휴대폰은 안전한가? -SKT 유심(USIM) 해킹

 

유심은 "나"를 "통신망"에 연결해주고, 내 개인정보와 통신을 안전하게 지켜주는 핵심 부품입니다.

유심(USIM)의 주요 역할

1. 가입자 인증
   • 휴대폰이 이동통신사(SKT, KT, LG U+, 등)의 네트워크에 연결되기 위해 필수입니다.
   • 유심 안에는 가입자의 전화번호, 가입 정보 등이 암호화되어 저장되어 있어, 휴대폰을 켤 때 통신사가 "이 사람은 우리 고객이다"를 확인합니다.
2. 개인 정보 저장
   • 일부 유심에는 연락처, 문자 메시지 등 간단한 데이터도 저장할 수 있습니다.
   • 최근에는 스마트폰 내부 저장소를 주로 쓰지만, 기본적인 연락처 백업용으로도 사용 가능합니다.
3. 보안 기능 제공
   • 통신 중에 데이터를 암호화하여 도청이나 데이터 탈취를 어렵게 합니다.
   • 인증서(모바일 신분증, 모바일 OTP) 등을 저장하는 보안 토큰 역할을 하기도 합니다.
4. 휴대폰과 통신사 분리
   • 유심만 다른 기기에 옮기면 쉽게 기기를 바꿀 수 있어, 통신사와 기기가 분리되어 자유롭게 사용할 수 있습니다.
   • "공기계"라는 개념이 가능해진 것도 유심 덕분입니다.
5. 부가 서비스 이용
   • 모바일 결제(SKT의 'T페이' 등), 본인 인증, 모바일 신분증 같은 서비스도 유심 기반으로 작동합니다.

---

휴대폰 유심(USIM) 복제는 매우 위험합니다. 구체적으로 말하면:

• 개인정보 탈취: 유심에는 전화번호뿐만 아니라 인증을 위한 개인정보가 저장되어 있습니다. 복제된 유심을 이용하면 당신인 척 하면서 통화, 문자, 인증 등을 할 수 있습니다.
• 2차 인증 무력화: 금융 서비스나 SNS 계정 로그인 시 자주 사용하는 SMS 인증(2단계 인증)이 복제된 유심으로 가로채질 수 있어, 계정 탈취나 금융사기가 일어날 수 있습니다.
• 통화 및 문자 감청: 복제된 유심을 가진 사람이 당신의 통화나 문자를 모두 들여다볼 수 있습니다.
• 금전적 피해: 복제 유심으로 금융기관이나 결제 서비스에 접근해 계좌 이체나 결제 사기가 발생할 수 있습니다.

USIM

 

현실성은 어떨까?

• 유심 복제는 아주 전문적인 장비나 내부 정보가 있어야 하기 때문에 일반 범죄자가 쉽게 하기는 어렵습니다.
• 하지만 사회공학적 해킹(ex. 가짜 고객센터 전화, 문자로 링크 클릭 유도)으로 유심 교체 신청을 유도하거나, 통신사에 접근해 복제할 수도 있습니다. 이건 최근에도 문제가 된 적이 있습니다.
• 특히, 고액 자산가, 연예인, 기업 임원, 암호화폐 투자자 등을 대상으로 한 유심 해킹 사례가 종종 보고됩니다.

---

예방 방법은?

• 통신사 계정에 강력한 비밀번호 설정.
• 통신사 앱(마이KT, T월드 등) 로그인 시 2단계 인증 활성화.
• 통신사에 요청해 "USIM 변경 제한" 설정.
• 의심스러운 링크나 전화는 절대 응답하지 않기.
• 갑자기 "서비스 없음" 상태가 되면 즉시 통신사에 문의.

최근 SK텔레콤(SKT)에서 발생한 대규모 유심(USIM) 정보 유출 사건은 유심 복제의 심각한 위험성을 여실히 보여주는 사례입니다.

---

SKT 유심 정보 유출 사건 개요

• 발생 시점: 2025년 4월 19일, SKT 내부 시스템이 악성코드에 감염되어 고객 유심 정보가 외부로 유출되었습니다.
• 유출된 정보: 국제 이동 가입자 식별자(IMSI), 전화번호(MSISDN), 인증 키 등 주요 통신 보안 데이터가 포함되어 있습니다.
• 피해 규모: SKT 가입자 약 2,300만 명과 알뜰폰 사용자까지 포함하면 최대 2,500만 명의 유심 정보가 유출된 것으로 추정됩니다.

 

---

 

예방 및 대응 방법

1. 유심 보호 서비스 가입: SKT는 유심 보호 서비스에 가입한 고객에게 해킹 피해 발생 시 100% 보상을 약속했습니다.
2. 유심 교체: SKT는 전국 2,600여 개 T월드 매장에서 유심을 무료로 교체해주고 있으며, 5월 말까지 500만 개의 유심을 추가 확보할 예정입니다.
3. 2단계 인증 강화: 중요한 계정에는 SMS 외에도 OTP, 보안 앱 등을 활용한 2단계 인증을 설정하세요.
4. 의심스러운 문자나 링크 주의: 피싱을 통한 추가 피해를 방지하기 위해 출처가 불분명한 문자나 링크는 클릭하지 마세요.

 

 

 

"심스와핑(SIM swapping)"은 휴대전화의 SIM 카드 정보를 해커가 탈취해 다른 SIM 카드로 바꿔치기하는 범죄 수법입니다. 이 수법을 통해 해커는 피해자의 전화번호, 문자메시지, 인증 코드 등을 가로채 금융 계좌나 소셜 미디어 계정에 접근할 수 있게 됩니다.

1. 개인정보 수집:
   해커는 사기, 피싱, SNS 스크랩 등으로 피해자의 이름, 생년월일, 전화번호, 주민등록번호 등의 개인정보를 수집합니다.
2. 통신사에 사칭 연락:
   해커는 피해자인 척 통신사에 전화해 "휴대폰을 잃어버렸으니 SIM 카드 재발급을 요청"합니다.
3. SIM 카드 재발급:
   통신사에서 제대로 신원 확인을 하지 않으면, 해커는 자신의 SIM 카드에 피해자의 전화번호를 등록하는 데 성공합니다.
4. 이중 인증 가로채기:
   이후부터는 피해자에게 오는 문자 인증번호, 전화 인증이 모두 해커에게 전송되어 각종 계정(이메일, 은행, 암호화폐 지갑 등)을 탈취할 수 있습니다.

 

위험성

• 2단계 인증 무력화: 휴대전화로 전송되는 OTP(일회용 비밀번호)가 해커에게 전달됨.
• 계정 탈취: SNS, 이메일, 금융 서비스 계정 등을 모두 해커가 장악할 수 있음.
• 금융 피해: 암호화폐 거래소 계정 접속 후 자산 탈취 사례 다수.

 

예방 방법

1. 통신사 계정에 PIN이나 비밀번호 설정
2. 이메일, 금융서비스에 인증 앱(Google Authenticator 등) 사용
3. 의심스러운 문자나 전화 피하기
4. 갑자기 전화나 데이터가 안 될 경우 즉시 통신사 문의

 

 

최근 SK 해킹 사건과 심스와핑의 연관 시사점

1. 개인정보 유출 → 심스와핑의 첫 단계

• SK 계열사 해킹으로 이름, 주민번호, 전화번호, 주소 등이 유출되었다면, 이는 해커가 통신사에 피해자로 사칭할 수 있는 기본 재료가 됩니다.
• 즉, 유출된 정보만으로도 심스와핑 공격의 출발점이 만들어지는 셈입니다.

2. 이중 인증 수단의 취약성 부각

• 우리나라 많은 금융/포털 서비스가 여전히 문자 메시지를 통한 2차 인증에 의존하고 있습니다.
• 이는 심스와핑 공격에 매우 취약합니다. 해커가 번호를 탈취하면 인증번호도 함께 가져갈 수 있기 때문입니다.

3. 사전 방어의 중요성

• 지금 이 시점에서 개인들은 **통신사 계정에 보안설정(PIN, 본인확인 질문 등)**을 반드시 설정해야 합니다.
• 기업은 SMS 기반 인증 대신 **인증 앱, 생체 인증, 하드웨어 토큰(FIDO 등)**으로 전환해야 합니다.

4. 사회적 대응 필요

• 정부와 통신사는 SIM 재발급 프로세스 강화가 시급합니다. (예: 대면 확인 강화, 보안경고 알림 시스템 도입 등)
• 개인정보 유출이 심스와핑, 피싱, 보이스피싱 등 2차·3차 범죄로 연쇄 전개될 수 있다는 인식이 필요합니다.

 

SK 해킹 사건은 단순한 정보 유출이 아니라, 심스와핑을 포함한 다양한 디지털 범죄의 도화선이 될 수 있다는 점에서 경각심을 가져야 합니다.

반응형

디지털 신분증과 심스와핑의 관계

1. 디지털 신분증이 타겟이 될 수 있다

• 디지털 신분증(예: 모바일 운전면허증, PASS 인증, DID 등)은 개인 인증 수단으로 쓰이기 때문에, 휴대전화번호와 연결된 경우가 많습니다.
• 이 경우, 해커가 심스와핑을 통해 전화번호를 탈취하면 해당 디지털 신분증에 접근하거나 악용할 수 있습니다.

2. SMS 인증 기반의 위험

• 많은 디지털 신분증 시스템이 문자 기반 2단계 인증을 병행합니다.
• 따라서 심스와핑에 성공한 해커는 본인 인증도 우회할 수 있는 가능성이 생깁니다.

3. 심스와핑으로 디지털 신분 탈취 가능성

• 예: 해커가 피해자의 전화번호로 디지털 신분증 등록된 인증 앱에 재로그인, 각종 공공·금융서비스에 접근할 수 있음.
• 이것은 단순한 통신사 문제를 넘어 디지털 신분 자체의 위조로 이어질 수 있는 위험입니다.

 

 

디지털 신분증의 핵심 기반이 스마트폰이고, 스마트폰 보안이 심스와핑에 취약하다면 곧 디지털 신분도 위험해질 수 있습니다.

---

 

대응 시사점 : 디지털 신분증 시스템은 SMS 의존도를 줄이고, 생체인식·인증앱 기반 다중 인증 체계를 도입이 시급하며, 통신사 SIM 발급 절차 강화, PIN 설정과 같은 기본 보안수단 보완이 반드시 필요합니다.

---

디지털이 진화되면 AI가 발전할 수록 우리 삶이 편리한 것 사실이지만, 보안의 취약점도 점점 커져가고 있는 것이 현실입니다. 무엇보다 개인 각자가 개인정보 보호 및 관리에 더욱 신중해야 위험을 최소화 할 수 있을 것 같습니다.

​

 

https://withw.tistory.com/9​

인공지능(AI), 머신러닝(ML), 딥러닝(DM) 차이

https://withw.tistory.com/33

OpenAI 란? - "AI 를 잘 쓰는 사람이 미래를 이끈다"