[디지털데일리 이상일기자] SK텔레콤이 해킹 공격을 받아 일부 유심(USIM) 관련 정보가 유출되는 사건이 발생하면서, 스마트폰에 집중된 현재의 인증 체계 전반에 대해 근본적 점검이 필요하다는 지적이 커지고 있다.

이번 사건 SK텔레콤 내부 시스템에 악성코드가 심어지면서 발생했다. 이후 해당 서버는 격리됐지만 이동가입자식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키 등이 유출됐다. 비록 주민등록번호나 금융정보 등 민감정보는 포함되지 않았다는 것이 SK텔레콤의 입장이지만, 디지털 신원으로 기능하는 유심 정보 자체가 노출된 만큼 그 위험성은 작지 않다.

특히 주목할 점은 유심 정보를 복제해 통신 회선을 탈취하고, 이를 기반으로 모바일뱅킹, 간편결제 서비스 등을 해킹할 수 있다는 점이다. 과거 국내외에서 심 스와핑(SIM Swapping) 피해 사례가 빈번히 발생한 전례를 떠올리면, 이번 유출 사고가 대규모 금융 피해로 이어질 가능성도 배제할 수 없다.

금융 서비스가 통신망을 신뢰 기반 인증수단으로 사용한다는 점이 특히 문제다. 특히 모바일뱅킹, 간편결제, 모바일OTP 등은 유심과 단말기에 의존하는 경우가 많아 해킹·복제폰 피해에 취약하다.

이미 금감원은 24일 금융회사 전체에 ‘이동통신사 유심 해킹사고 관련 유의사항’을 배포해 “향후 금융서비스 중 휴대전화 본인인증과 문자메시지만으로 인증이 완료되는 경우에는 추가 인증수단을 고려해야 한다”고 권고하기도 했다.

금융권 뿐만 아니다. 이번 사건이 벌어진 직후 삼성, 현대자동차, 포스코, 한화 등 주요 대기업들이 소속 임원들에게 보안 강화를 위해 유심 교체를 지시한 것으로 전해진다. 유출된 정보로 복제폰이 생성되면, SMS 인증이나 푸시 승인 등을 가로챌 수 있는데 기업의 C레벨 임원 단말 하나에 회사의 핵심 자산, 계약 정보, 전략 문서가 모두 연결되어 있는 현실이 고려됐기 때문으로 풀이된다.

금융권은 물론 일반 기업에 이르기까지 복제폰, 특정 대상을 정밀 타깃으로 한 '스피어 피싱'과, 2차 인증(MFA)을 무력화하는 'MFA 우회 공격' 가능성을 막기 위해, '키 로테이션(가입자 인증키 재발급)'과 '다층 인증 체계' 구축이 필수 과제로 떠올랐다.

이러한 한계를 보완하기 위해, 업계 일각에서는 추가적인 인증 절차를 도입해 스마트폰 기반 인증에 의존하는 위험을 낮춰야 한다는 목소리가 나오고 있다.

예를 들어, 금융거래 시 단순한 통신 인증만으로 절차를 완료하지 않고 별도의 독립된 보안 경로를 추가하는 방식이다. 금융결제원이 개발한 '트러스트원(TrustOne)' 서비스, 삼성페이 보안키(Secure Element) 기반 인증, 구글과 애플 등이 자체적으로 제공하는 추가인증 수단에 대한 정부 차원의 검토가 필요하다는 지적이 나오기도 한다.

추가인증 수단이 복제폰 생성이나 통신망 탈취 자체를 막을 수는 없지만, 복제된 단말기로 금융 서비스를 이용하려 할 때 추가 인증을 요구함으로써 자금 이체 등 1차 피해를 사전에 차단할 수 있는 장치로 작용할 수 있기 때문이다. 그러나 추가인증 수단에 대한 기업들의 대응은 아직은 미약하다.

추가 인증 도입에 따른 고객 불편 우려, 비용 부담 등을 이유로 적극적으로 채택하지 않고 있기 때문이다. 또한, 제도적으로도 이러한 서비스를 의무화하거나 지원하는 장치가 부족한 현실이다.

이번 SK텔레콤 유심 해킹 사건은 단순한 기업 보안 사고가 아니다. 국민 금융 생활의 기본 안전망이 무너질 수 있다는 심각한 경고다. 이 문제를 해결하기 위해서는 민간 기업 차원의 대응을 넘어, 공공정책 차원의 대대적인 보안 체계 혁신이 필요하다.