프로그램명 'CBS라디오 <김현정의 뉴스쇼>'를
정확히 밝혀주시기 바랍니다. 저작권은 CBS에 있습니다.
* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다.
======================================================
■ 방송 : CBS 라디오 <김현정의 뉴스쇼> FM 98.1 (07:10~09:00)
■ 진행 : 김현정 앵커
■ 대담 : 김승주 (고려대 정보보호대학원 교수)
IBM 따르면 해킹 원인 분석만 277일 소요
복제폰이 주는 현실적 위협은 비밀번호 변경
유심 아니라 휴대폰에 저장된 정보도 있어
유심 복제로 카뱅 토스 등 할 수 없어
국내 가입자는 보호서비스 가입만으로 충분
SKT가 고객들의 유심 정보를 해킹 당한 게 벌써 열흘 전 일입니다. 어제부터 무상으로 유심을 교체해 주기 시작하면서 SKT 대리점은 하루 종일 북새통을 이뤘죠. 그런데 가입자는 2500만 명인데 SKT가 가지고 있는 유심은 500만 개에 불과해서 전원을 교체해 주기에는 턱없이 부족하다고 합니다. 그러면서 유심 보호서비스에만 가입해도 된다라고 하는데 그건 또 뭔지 좀 헷갈립니다. 결국 유심 정보를 해킹 당했다는 게 어떤 의미인지 그 원리를 이해해야만 대응 방법에 있어서도 판단이 설 것 같아요. 그래서 원리를 쉽게 설명해 주실 분 오늘 모셨습니다. 고려대학교 정보보호대학원의 김승주 교수 어서 오십시오, 교수님.
◆ 김승주> 안녕하십니까?
◇ 김현정> 지금 유심 서버가 털렸다. 큰일 났다, 큰일 났다 하는데 정확히 유심 서버가 털렸다는 게 무슨 의미인가. 그러니까 뭐, 뭐를 가져갔다는 얘기인가를 알기 위해서는 유심이 뭔지부터 알아야 될 것 같아요. 유심이 뭐예요?
◆ 김승주> 원래 유심, 원래는 심, 이렇게도 불렀죠. 이 유심이라고 하는 건 휴대폰에 꽂는 조그만 노란색 칩이 있습니다.
◇ 김현정> 제가 지금 가지고 왔습니다. 실물을. 유튜브와 레인보우를 한번 보시겠어요? 이 칩, 이 노란 칩이 유심 칩이에요.
◆ 김승주> 그 유심 칩 안에는 우리가 보통 IMSI라고 그래서 가입자 고유번호가 들어갑니다. 이 가입자 고유번호를 그 안에 집어넣는 이유는 우리가 통신을 딱 하면 누가 전화를 걸었는가, 이걸 판단해서 그 사람한테 과금을 해야 되잖아요.
◇ 김현정> 그렇죠.
◆ 김승주> 그래서 그 유심 안에 가입자 식별번호, 고유번호를 집어넣어서 어떤 사용자가 접속했는지를 판별하는 거고요. 우리가 유심 서버가 털렸다라고 얘기하는 건 통신사에 이 가입자 번호는 전화번호가 어떻게 되고 김승주 고객님 겁니다. 이런 정보를 보관하고 있어야 되거든요. 그래야 누군지 아니까. 그래서 그 서버가 털렸다, 이렇게 보시면 될 것 같습니다.
◇ 김현정> 그럼 제가 이해한 게 한번 맞나 봐 주세요. 유심은 디지털 신분증, 디지털 주민증 같은 거다. 즉 전국 어디로 이사를 가더라도 내가 주민증, 저 주민증 하나 가져왔거든요. 이거 보세요. 제 주민증입니다. 제 주민증하고 그 안에 적힌 주민번호만 있으면 나라는 존재가, 김현정이라는 존재가 식별이 되는 거잖아요. 세상에 김현정은 너무도 많으니까 이 주민번호 가지고 식별하는 거죠. 휴대폰 기계를 아무리 바꿔도 이 유심 칩만 갈아 끼우면 그 안에 주민번호와 같은 식별 번호가 있어서 아, 이거 식별번호 1234ABC의 유심 칩이구나라는 걸 통신사가 알아챈다는 거죠.
◆ 김승주> 그렇죠.
◇ 김현정> SKT의 유심 칩을 가진 사람은 아, 저 사람은 SKT 고객, 1234ABC, 3456CDF, 이런 식으로 식별을 한다.
◆ 김승주> 그렇죠.
◇ 김현정> 이렇게 이해하면 되는군요.
◆ 김승주> 단 차이점은 유심을 교체하면 주민번호도 바뀐다.
◇ 김현정> 주민번호도 바뀔 수 있다. 유심 교체 시에는. 그런데 대부분은 그냥 이 유심 칩 가지고 공기계만 계속, 기계만 계속 바꾸니까 디지털 주민증이다. 그런데 4월 19일에 SKT사가 2500만 명의 유심 정보를 보관해 놨던 그 서버를 털렸다. 해킹 당했다. 그럼 저는 여기서 궁금한 게 이 유심 칩 안에는 식별번호하고 제 핸드폰 번호만 들어 있는 건지. 010-OOOO-OOOO의 식별번호는 1234ABC, 이렇게만 있는 건지 아니면 그건 김현정이고 주민번호는 이렇고 주소는 이렇고 성별은 어떻고 이것까지 싹 다 들어 있는 건지 뭐까지 들어 있어요?
◆ 김승주> 그러니까 그 유심 안에는, 그러니까 휴대폰에 들어가 있는 유심 안에는 가입자 고유번호와.
◇ 김현정> 식별번호 아까 말씀하신.
◆ 김승주> 그다음에 전화번호 정도 들어가 있다라고 보시면 됩니다. 그리고 통신사의 유심 서버에 해당 가입자 고유번호, 그다음에 이게 누구 거다 정도, 이 정도 정보가 들어 있다라고 보시면 되고요. 그다음에 통신 요금제는 뭐다, 이런 거. 그다음에 좀 전에 말씀하신 이 사람의 주소는 어떻게 되고 그다음에 계좌번호는 어떻고 이런 개인정보와 관련된 건 유심 서버가 아니라 별도의 컴퓨터에 저장됩니다. 이 두 개는 분리돼 있습니다.
◇ 김현정> 그게 궁금했어요. 그러니까 지금 말씀드린 이 디지털 신분증 유심 칩, 이 정보는 굉장히 중요한 정보죠. 안 바뀌는 정보고. 우리가 막 들어가서 내가 식별번호 바꾸고 이럴 수 없는 정보는 따로 보관하고, 서버에. 제가 온라인에 접속해서 주소도 바꾸고 요금제도 바꾸고 이런 거는 제가 막 접근해서, 고객이 접근해서 바꿀 수 있는 거니까 따로 서버에 저장해 놓는다. 얘들은 별개 보관해 놓는다. 그런데 이게 털린 거군요.
◆ 김승주> 그렇죠.
◇ 김현정> 이게 털린 거군요. 이해가 됐습니다. 그러면 해킹범이 이 유심 칩만 가지고 이 서버만 털어가지고 할 수 있는 일은 뭐예요? 어차피 제 개인정보도 없는데.
◆ 김승주> 그러니까 유심 정보를 얻어서 그것을 빈 유심에 그대로 복사해 넣는 겁니다. 그래서 유심을 복제하는 거죠. 그 복제된 유심을 공기계에 꽂으면 똑같은 복제폰이 만들어집니다.
◇ 김현정> 이 유심 칩과 똑같은 걸 식별번호 가지고 만들어 버리면, 그래서 공기계에 꽂으면 제 폰하고 똑같은 폰 하나가 생기는 거예요?
◆ 김승주> 그렇죠.
◇ 김현정> 그런데 말입니다. 이 사람들이 통신사에서 1234ABC 식별번호 가진 그걸 향해서 문자도 쏴주고 통화도 하게 해 주고 이건 이해가 되는데 겨우 그거 하려고 이거 지금 털어간 건 아닐 거 아니에요.
◆ 김승주> 복제폰을 만들면 일단은 나한테 오는 전화가 그 복제폰으로 간다든가.
◇ 김현정> 그렇죠.
◆ 김승주> 나한테 오는 문자가 그 복제폰으로 갑니다.
◇ 김현정> 그렇죠.
◆ 김승주> 그런데 여기서 중요한 건 2개가 동시에 접속되지 않고 둘 중에 한 대만 통신사와 연결될 수 있습니다. 그래서 예를 들어 제 휴대폰이 연결 안 돼 있고 해커의 휴대폰이 연결돼 있다라면 나한테 올 문자와 전화가 다 그쪽으로 가는 겁니다. 자, 그러면 우리가 휴대폰의 문자가 저쪽 해커의 복제폰으로 갈 때 무슨 일이 생길까 생각을 해보면 우리가 보통 비밀번호 변경 같은 거 할 때 SMS 문자를 이용해서 본인확인을 하잖아요.
◇ 김현정> 맞습니다.
◆ 김승주> 이러니까 비밀번호 변경 같은 걸 할 수 있는 겁니다. 그래서 제일 현실적으로 일어날 수 있는 일은 우리가 포털사이트나 여러 SNS의 비밀번호를 변경할 때 문자메시지 인증을 활용하는데 그걸 우회해서 해커가 비밀번호를 바꿀 수 있다. 이게 가장 현실적인 위협입니다.
◇ 김현정> 비밀번호를 바꿀 수 있다. 그런데 그냥 비밀번호 바꾸는 정도 하려고 그 사람들이 이걸 털어 갔을 것 같지는 않고 은행 계좌에서 돈을 빼간다든지 그러니까 계좌이체 같은 거요. 혹은 가상자산거래소 앱 같은 데서 코인 가진 사람이라면 코인을 빼간다든지 이런 걸 하고 싶을 텐데 그것도 가능합니까?
◆ 김승주> 불가능합니다.
◇ 김현정> 불가능합니까?
◆ 김승주> 왜 그러냐 하면 일단은 제가 뱅킹하고 주식을 말씀드릴게요. 인터넷뱅킹 같은 경우에 우리가 로그인을 하려면 또는 계좌이체를 하려고 그러면 굉장히 많은 정보를 요구합니다. 공인인증서, 공인인증서 비밀번호, OTP 카드, 이런 것들을 요구하죠. 그래서 단순히 문자 인증을 가로채서 비밀번호를 바꿨다 하더라도 그런 정보들이 없는 한 계좌이체나 이런 걸 할 수가 없습니다.
◇ 김현정> 사실 한 번 지문 인식 같은 거 해놓고 나면 저 같은 경우는 그냥 지문으로 계좌 이체하고 다 하거든요 그런데 애초에 앱 깔아가지고 로그인할 때는 애초에 한 번은 뭔가가 다 인증이 필요했다는 얘기죠?
◆ 김승주> 그렇죠.
◇ 김현정> 개인 정보도 되게 많이 집어넣어야 됐고 그러고 나서는 지문 인증이든 핀번호 인증이든 쉽게 되지만 애초에 최초 작업할 때는 상당히 많은 것들이 필요하다.
◆ 김승주> 그렇죠. 그리고 지금 앵커님께서 지문 갖고 저는 다 합니다라고 얘기하셨잖아요. 그건 보이는 게 그래서 그렇고요. 휴대폰 안에 공인인증서 비슷한 것이 들어가 있습니다. 카카오뱅크도 그 내부를 뜯어보면 공인인증서 비슷한 것이 휴대폰 안에 내장돼 있습니다. 이건 유심이 아니라 내 휴대폰에 들어가 있는 거기 때문에 유심을 복제한다 하더라도 카카오뱅크나 토스 같은 걸 할 수가 없습니다.
◇ 김현정> 그럼 이건 어때요? 복제폰을 만든 다음에 지금 제 개인정보들은 막 다 털려가지고 돌아다니잖아요. 우리 국민들 거. 그것까지 손에 얻었어요. 이 해킹범이. 그 두 가지만 가지고 그러면은 할 수 있는 건 훨씬 많아지잖아요.
◆ 김승주> 저는 그런 얘기가 굉장히 좀 문제가 있다라고 봅니다. 제가 지난주 화요일부터 언론에서 공포감을 너무 부추긴다, 이러다 정말 큰일 난다, 그 얘기를 드린 적이 있어요. 이게 뭐냐 하면 많은 논리가 이런 겁니다. 유심 정보 갖고는 한계가 있다고 하지만 우리는 이미 많이 털렸는데.
◇ 김현정> 많이 털렸으니까.
◆ 김승주> 결합되면 큰 사고가 나지 않을까요?
◇ 김현정> 해킹범이 복제폰도 가지고 있고 제 개인정보들, 주민번호며 다 이것까지 얻으면 2개 결합하면 이거 엄청난 거 아니야?
◆ 김승주> 예를 들어 김현정 앵커님의 공인인증서를 제가 어떻게든 입수했습니다. 공인인증서 비밀번호도 제가 갖고 있어요. 또 OTP 카드도 제가 갖고 있다고 치자고요. 그럼 유심을 복제할 필요 없죠. 그거 가지고 계좌이체 하면 되니까.
◇ 김현정> 그러네. 그러네. 인터넷으로 해도 되는 거니까, 그거는. 어차피 통신사하고 연결된 건 문자하고 전화 거는 거니까.
◆ 김승주> 그래서 여러 언론사에서 인터뷰들 많이 하시잖아요. 또 기사를 내보내시고. 그럴 때 하나만 더 여쭤보시면 됩니다. 여러 가지 정보를 결합해서 이런 거 할 수 있어요 그러면 그럼 딱 하나 찍어서 구체적으로 어떻게 하는지 설명을 좀 해 주십시오. 그러면 안 된다는 것이 보여지거든요.
◇ 김현정> 그렇군요. 저 좀 이해가 됐어요. 그러니까 유심 서버에서 해킹한 정보로 복제폰 만들 수 있는 것까지는 확실하고 그걸로 막 내 문자도 가로채고 통화도 가로채고 막 핸드폰을 쓸 수 있는 것까지도 맞고. 그럼 제 통화 요금에 과금되는 것도 맞고. 하지만 돈을 빼가는 작업은 상당히 여러 단계, 복잡한 많은 것들이 요구된다. 그것까지 그놈들이 손에 얻기는 상당히 어렵다.
◆ 김승주> 우리 국민들께서 공인인증서나 OTP, 그럼 우리 어떤 금융 거래할 때 왜 대한민국은 이렇게 비밀번호 말고 여러 가지를 많이 요구해? 불평하셨잖아요. 그런데 그 많은 보안 수단들이 지금 이 상황에서 우리를 지켜주고 있는 겁니다.
◇ 김현정> 많이 간소화되지 않았어요? 그래도 결정적인 것들은 남아 있습니까?
◆ 김승주> 그렇죠.
◇ 김현정> 그래서 생각하기에 따라 상당히 심각한 해킹일 수도 있고 또 해킹범이 너무 여러 단계를 거쳐야 된다는 점에서는 우리가 지금 극도로 공포스러워 하는 정도까지는 아닐 수도 있고 그런 말이 그래서 나오는 거군요.
일단은 이렇게 설명을 듣고 나니까 당장 내 통장이 탈탈 털리는 거 아니야?라는 불안감으로부터는 조금 해방이 됐는데 그럼에도 불구하고 교수님, 어쨌든 유심 칩 서버가 도난당했으니까 불안해요. 100% 안심 아니고 복제폰 만들어지면 또 어떤 일을 할 수도 있으니까 그 싹을 제거해 버리고 싶습니다. 그러면 유심만 교체하면 됩니까?
◆ 김승주> 그게 제일 근원적인 해결책입니다. 그래서 유심을 교체해야 되는데 지금 유심의 수량이 부족하죠.
◇ 김현정> 네.
◆ 김승주> 그래서 너무 공포감에 떠실 필요 없이 지금은 유심 보호서비스, 이것에 가입해 두시면 국내 가입자는 그걸로도 충분합니다.
◇ 김현정> 정리할게요. 아까 제가 저 유심 칩은 주민번호 같은 거라고 그랬죠. 주민번호가 들어가 있는 주민증이라고 그랬잖아요. 그런데 제 주민번호를 바꿔버리는 거예요. 바꿔버리는 거예요. 그러면 일단은 제 전화번호랑 제 식별번호가 어긋나 버리니까 이놈들이 이 식별번호 가지고는 못 찾는 거네요. 식별을 못 하는 거네요.
◆ 김승주> 주민번호를 바꾸는 건 유심을 새로 발급받아야 됩니다.
◇ 김현정> 그렇죠, 그렇죠.
◆ 김승주> 그런데 지금 유심을 새로 발급받아야 되는데 유심이 모자라잖아요.
◇ 김현정> 그러니까요, 일단은 발급받는 걸로 근원적인 치료는 된다는 거고.
◆ 김승주> 그런데 새로 발급받을 수 없으니까 유심 보호서비스를 가입해야 되는데 이 유심 보호서비스는 유심을 복제해서 똑같은 유심을 만들면 그걸 공기계에 꽂아야 되잖아요. 그 얘기는 기기가 변경된다는 겁니다. 유심 보호서비스에 가입하면 통신사가 기기가 변경됐는지를 탐지하고 그걸 막아줄 수 있습니다.
◇ 김현정> 어제 제가 유심 칩 교체해 보려고 그랬더니 예약이 한도 끝도 없어요. 그제가 SKT 고객입니다, 여러분. 티월드에서 유심 보호서비스를 일단 가입하세요 그러더라고요. 1시간 정도 기다렸더니 접속이 됐습니다. 가입했거든요. 그럼 그 말은 이제부터 내 유심 칩과 내 기계를 본드로 붙이듯이 한 몸으로 만들어 버리겠다.
◆ 김승주> 그렇죠.
◇ 김현정> 그 말인 거죠. 그래서 다른 곳에서 저 서울에 있는데 저기 부산에서 제 유심 칩으로 뭔가를 막 통화를 하려고 문자를 보내려는 이상한 행동이 포착되면 걔는 가짜로 치부하겠다.
◆ 김승주> 그렇죠.
◇ 김현정> 차단해버리겠다. 너의 식별번호와 너의 공기계는 한 몸이야. 이거 외에 다른 건 없어. 이런 거죠?
◆ 김승주> 맞습니다.
◇ 김현정> 이렇게 이해하면 됩니다, 여러분. 이렇게 이해하고 나니까 되게 좀 안심이 되더라고요. 그래서 1시간 기다리길 되게 잘했다. 이런 생각이 들어요.
◆ 김승주> 그런데 단점은 있죠. 그걸 하면 로밍 서비스가 차단됩니다.
◇ 김현정> 해외 로밍 됐을 때는 해외 로밍을 못 해요?
◆ 김승주> 그 두 가지가 양립할 수는 없습니다. 그래서 지금 SK텔레콤이 프로그램을 수정 중에 있고 5월 중에는 해외 로밍서비스와 유심 보호서비스가 같이 공존할 수 있도록 프로그램을 바꾸겠다.
◇ 김현정> 오케이, 일단은 안심은 됐는데 SKT가 잘한 게 하나도 없습니다. 아니, 이 유심 서버 이렇게 털리게 두면 됩니까? 이 중요한 유심 서버가 왜 털린 거예요?
◆ 김승주> 그건 좀 더 분석을 해 봐야 되고요. 실제로 많은 분들이 야, 왜 이렇게 결과가 안 나와? 이렇게 얘기를 하시는데 IBM에서 내놓은 보고서가 있습니다. 2023년에.
◇ 김현정> 결과가 안 나오는 건 일단 둘째 치고 왜 뚫린 거냐, 저는 그것부터요.
◆ 김승주> 그런 원인을 분석하는 데 평균 277일이 소요된다. 이게 2023년에 나온 IBM 보고서입니다.
◇ 김현정> 그렇군요. 그럼 원인 찾기는 굉장히 오래 걸리겠네요.
◆ 김승주> 상당한 시간이 걸릴 겁니다.
◇ 김현정> 그런데 그 원인 찾기 전에 일단 뚫리지 않도록 조금 더 철저하게 뭔가 조치를 취했어야 되는 건 아닌가요?
◆ 김승주> 분명히 이건 SK텔레콤 잘못이죠. 잘못인데 지금 너무 과도한 공포감에 유심이 품절 사태로 나는 것도 사실은 문제라는 겁니다. 제가 보기에는 국내 가입자는 유심 보호서비스를 우선적으로 가입하게 하고 그다음에 긴급하게 해외 출장 가셔야 되는 분들, 이런 분들 위주로 일단 유심을 교체해 주고 이런 다양한 방안들을 할 수 있는데 지금은 공포감이 과도하니까 유심 사재기에 들어갔고 그러니까 지금 아수라장이 벌어진 거거든요.
◇ 김현정> 맞아요. 여러분 SKT가 이 유심 서버 관리 잘못한 거 이거 분명히 잘못한 거고 원인 철저하게 밝혀야 되고 뭔가 책임 물을 건 물어야 된다. 하지만 극도의 공포감으로 이걸 또 몰아가는 이런 식이 되면 이건 또 우리에게 손해다. 고객들에게 손해다. 왜냐면 이것 때문에 공기계 많이 바꾸고 계시더라고요. 그것도 손해다라는 말씀드리면서 교수님 시간 조금 더 되세요?
◆ 김승주> 네.
◇ 김현정> 그럼 조금만 더 궁금증 풀어볼게요. 고맙습니다.