LG유플러스의 '무료 유심교체'..해킹 피해 줄일 수 있을까?

IT동아 · 2023.02.20 19:02:43

[IT동아 정연호 기자] 개인정보유출에 대한 LG유플러스의 대책이 안이하다는 지적이 나온다. 유출된 개인정보 중 단말기고유식별번호(IMEI)는 단말기 고유 번호라서 이들이 제시한 대응 방안 중 하나인 ‘유심교체’만으로는 심 스와핑에 대처하지 못한다는 것이다.

LG유플러스는 올해 1월 10일 18만 명에 달하는 고객의 성명, 생년월일, 전화번호 등 개인정보가 유출됐다고 밝혔다. 이후 늘어난 피해자까지 포함한 29만 명 중에는 기존고객과 해지고객이 모두 포함된다. 납부 관련 금융정보는 포함되지 않았다는 게 회사 측 설명이다.

LG유플러스가 올린 사과문, 출처=LG유플러스

LG유플러스는 이번 사태에 대한 사과문을 발표하면서 △정보보호 관련 조직의 인력과 투자 확대 △외부 보안 전문가를 통한 취약점 사전 점검 △선진화된 보안기술을 적용 △사이버 보안 전문인력 육성 △ 사이버 보안 혁신활동 보고서 발간 등 사이버 안전혁신안을 제시했다. 개인정보가 유출된 고객은 오늘 20일부터 LG유플러스 매장에서 무료로 유심을 교체할 수 있다.

LG유플러스의 ‘무료 유심교체’ 두고 인터넷 커뮤니티에선 심 스와핑(SIM Swapping) 해킹의 가능성이 거론되고 있다. 심 스와핑은 휴대전화의 유심 정보를 복제해 이를 장착하는 수법을 말한다. 이번에 유출된 정보엔 IMEI라는 휴대폰 단말기 고유 번호가 있다. IMSI(유심고유식별번호), IMEI 등의 정보를 통해서 유심을 복제할 수 있다는 지적이다. 일각에선 “유심칩을 교체한다고 해서 단말기 고유 번호까지 교체되는 게 아니기 때문에 단말기까지 변경해야 한다”는 주장이 나온다.

심 스와핑은 다른 개인정보와 결합해 금융 자산을 탈취하는 방식으로 진행된다. 유심을 복제해 새로운 단말기에 끼우면 해당 번호로 가는 문자와 메시지를 받을 수 있다. 은행이나 거래소 등에서 본인인증을 위한 메시지를 받아서 인증을 해제하고 자산에 손을 대는 것이다. 금융 앱의 비밀번호를 몰라도 휴대전화 인증을 통해 비밀번호 재설정할 수 있다. 심 스와핑에 당하게 되면 전화나 문자가 송수신되지 않거나, 네트워크 접속 불가 등의 메시지가 뜬다.

LG유플러스는 유출된 개인정보만으로는 유심칩을 복사할 수 없다는 입장이다. LG유플러스 관계자는 IMEI 정보가 공개됐다는 주장에 대해 “IMEI 정보를 활용하려면 이를 위한 별도의 네트워크 인증키가 필요하다”고 답했다. 이어, 그는 “네트워크 키가 유출됐더라도 해당 키는 일회성이기 때문에 계속 사용할 수 없다”고 주장했다. 유심칩을 무료로 교체해주는 이유는 “변경하지 않아도 별다른 문제가 없지만, 개인정보 유출로 불안을 느끼는 사람을 위한 것”이라고 한다.

‘다른 개인정보와 결합하면 이를 기반으로 고객센터에 전화해 기존 유심을 폐기하고 새로운 유심을 발급받을 수 있지 않나’라는 물음에는 “그건 쉽지 않다”는 답을 냈다. 그는 “유심을 개통하면 기존 휴대전화 주인은 통신이 끊기는 걸 알기 때문에 바로 이상 신고를 할 것”이라고 했다.

다만, 해커들은 스마트폰에 악성 앱을 깔게 하면서 개인정보를 탈취할 수 있기 때문에 가능성을 완전히 배제할 수는 없다. 게다가 이들은 이용자가 잠을 자는 새벽에 심 스와핑을 진행하는 것으로 알려졌다. 실제로 해외에선 해커들이 표적의 SNS 등에서 이메일, 생일 등의 개인정보를 수집했다.

국내에서도 통신사 KT 이용자의 심 스와핑 피해 의심사례들이 있다. 이들은 수십만 원에서 수억 원까지 피해를 본 것으로 알려졌다. 복제된 유심칩이 개통되면 기존 휴대전화 통신이 끊기기 때문에 사람들이 잠을 자는 새벽 시간대에 범행이 발생한다. 아침에 일어났을 때 피해자들은 가상자산 거래소에서 코인 등의 금융자산이 도난당했다는 걸 알게 된다.

해외에선 암호화폐 투자자가 통신사 상대로 심 스와핑 관련해 2억 2400만 달러 규모 소송을 냈다. AT&T 대리점 직원이 심 스와핑을 도왔다는 정황이 밝혀졌기 때문이다. 트위터 전 CEO 잭 도시의 트위터 계정도 심 스와핑 방식으로 해킹당해 ‘히틀러는 죄가 없다’는 글이 올라왔다.

이번 개인정보 유출 사건에서 맥(MAC) 주소까지 노출된 것도 불안을 키운다. PC나 스마트폰처럼 인터넷 사용이 가능한 단말 기기에 부여되는 고유 번호를 맥 주소라고 한다. 보안 전문가들은 기기의 로그 기록과 결합하면 기기 사용 패턴, 관심사 등에 대한 정보를 추론할 수 있다고 경고한다.

문제는 LG유플러스가 사고를 밝히고 대응하는 과정에서 신뢰를 잃고 있다는 점이다. 이들이 피해에 대한 모니터링을 강화하겠다고 밝혀도 고객들의 불안이 사라지지 않는 이유다.

LG유플러스는 18만 명의 고객 정보가 일부 유출된 걸 확인했어도 일주일이 지나서야 이를 고객에게 공지했다. 유출 사실도 한국인터넷진흥원(KISA)의 안내를 통해서 알게됐다. 개인정보 유출 초기 해커와 거래를 한 사실은 알리지 않았다. 게다가 LG유플러스는 지난해 12월 정상적이지 않은 외부 침입이 있었고, 이들이 고객의 요금제 정보를 바꾼 것으로 알려졌다. 하지만, 그 이후로 보안을 보완하거나 고객정보처리를 강화하지 않았다는 지적이 나온다.

정보보호 투자액 전체 상위 10대 기업, 출처=과학기술정보통신부

정보보호 전담인력 상위 10대 기업, 출처=과학기술정보통신부

LG유플러스는 통신3사 중에서도 정보보안 투자에서 가장 뒤처졌다는 평가를 받아왔다. KT와 SK텔레콤이 정보보호 투자액에 각각 1021억 원, 627억 원을 투자하는데 비해 LG유플러스는 292억 원에 불과하다. 정보보호 전담 인력도 SK텔레콤이 196.1명, KT가 335.8명, LG유플러스는 91.2명이었다. LG유플러스는 연간 정보보호투자액을 현재 3배인 1000억 원으로 확대하겠다고 밝혔다.

글 / IT동아 정연호 (hoho@itdonga.com)

사용자 중심의 IT 저널 - IT동아 (it.donga.com)

번호	제목	글쓴이	작성일	조회	추천
설문	어떤 상황이 닥쳐도 지갑 절대 안 열 것 같은 스타는?	운영자	24/05/20	-	-
2492	동영상 만드는 인공지능 ‘런웨이 GEN-2’의 실력은? [4]	IT동아	23.03.22	1236	2
2491	[리뷰] 내실 다진 PCIe 4.0 SSD, 씨게이트 뉴 파이어쿠다 520 M.2 NVMe	IT동아	23.03.21	148	0
2490	[IT하는법] 유튜브 과몰입 방지하는 ‘사용 시간 제한’ [7]	IT동아	23.03.21	976	2
2489	[IT애정남] ‘이퀄라이저’는 어떻게 쓰는 건가요? [1]	IT동아	23.03.21	192	0
2488	카멜그룹, 모니터 암·디스플레이 넘어 '가구 브랜드'로 진화 中	IT동아	23.03.21	1008	2
2487	"첫날 오전에만 17만 명 가입"··· 애플 페이의 한국 서비스가 지닌 의의는? [2]	IT동아	23.03.21	1046	2
2486	최치호 홍릉강소특구단장 “바이오 스타트업 생태계 돕고파”	IT동아	23.03.21	87	0
2485	[주간투자동향] 트래블월렛, 197억 원 규모의 시리즈C 투자 유치	IT동아	23.03.21	118	0
2484	'노 코딩' RPA 제작, 인포플라 ‘알파카’로 RPA 스크립트 만들어보니[스타트업 리뷰] [5]	IT동아	23.03.20	1085	1
2483	주름 없는 폴더블폰 속속 등장, 삼성 폴드∙플립5는 방수∙방진까지? [21]	IT동아	23.03.20	2820	7
2482	스마트폰 홈 화면에 바로가기 만들려면 이렇게! [이럴땐 이렇게!] [7]	IT동아	23.03.20	2902	2
2481	[뉴스줌인] 더함 안드로이드 TV, 버전 9→11로 업데이트, 뭐가 달라지지?	IT동아	23.03.17	180	0
2480	"카메라·렌즈 직접 써보세요", 오프라인 경험 확대 나선 카메라 업계	IT동아	23.03.17	120	1
2479	[농업이 IT(잇)다] 팡세 “바이오 3D 프린팅으로 배양육 대중화” [6]	IT동아	23.03.17	2321	2
2478	[시드팁스] 유동산 오준식 대표, "기업·기관 중심의 선순위 대출, 모두를 위한 기회로"	IT동아	23.03.17	91	0
2477	[리뷰] 공간효율성과 ‘손맛’을 동시에, 마이크로닉스 워프 WK4 텐키리스 게이밍 키보드 [9]	IT동아	23.03.16	1607	1
2476	가상자산 제도화를 위한 조언, DCON 2023	IT동아	23.03.16	94	0
2475	[디지털 취약 극복] 에이티소프트 “전자 점자, 문서 표·셀까지 표현해야”	IT동아	23.03.16	87	0
2474	이통 3사 “2시간 미만 장애 10배 보상”…과실 입증은 소비자가?	IT동아	23.03.16	645	0
2473	GPT-4, 사진 알아보고 변호사·대입 시험 성적도 우수 [11]	IT동아	23.03.16	2044	6
2472	[IT강의실] 초보자를 위한 ‘SSD 데이터 통째로 복제하기’	IT동아	23.03.15	891	1
2471	[리뷰] ‘스펙’ 충만 4K/120Hz 게이밍 TV, 더함 우버기어 UG651QLED [6]	IT동아	23.03.15	903	0
2470	당근마켓, 비대면 중고사기 주의보 …이것만큼은 주의해야 [6]	IT동아	23.03.14	1053	0
2469	한국IBM “아시아 지역에 집중되는 보안위협, 전방위 XDR로 대응해야”	IT동아	23.03.14	84	0
2468	개인위생이 신경 쓰인다면? 개인·가정용 살균기	IT동아	23.03.14	776	1
2467	[스타트업-ing] 칼렛바이오 “친환경 포장재로 맺은 ESG 파트너십, 새 칼렛스토어로 한층 강화” [1]	IT동아	23.03.14	109	0
2466	'성공한 일본 비즈니스맨의 상징'··· 파나소닉 '레츠노트'는 어떤 노트북인가? [32]	IT동아	23.03.14	1786	8
2465	폴더블 스마트폰 2막, 판매량 3,000만 고지 밟는다 [2]	IT동아	23.03.14	1023	1
2464	[IT강의실] 모니터 구매 전 체크할 필수 사양 [10]	IT동아	23.03.13	2294	4
2463	엔비디아 RTX 30 시리즈 단종 수순, 차세대 그래픽 카드 기다려볼까? [35]	IT동아	23.03.13	6086	5
2462	[주간투자동향] 퀀팃, 300억 원 규모의 시리즈A 투자 유치	IT동아	23.03.13	86	0
2461	너무 큰 PDF 파일, 용량 줄이려면 이렇게! [이럴땐 이렇게!] [7]	IT동아	23.03.13	4437	12
2460	애플, 500만 트랙 담은 ‘뮤직 클래식’ 공개···한국은 제외 [76]	IT동아	23.03.10	7679	9
2459	[IT강의실] 저렴한 PC 업그레이드 방법···SSD에 주목 [55]	IT동아	23.03.10	4749	9
2458	같은 메뉴도 매장보다 배달앱에서 더 비싸… 배달가격에 기만당하는 소비자 [5]	IT동아	23.03.10	330	0
2457	[시드팁스] 카본사우루스, "모든 기업이 탄소중립 동참하는 생태계 꿈꾼다"	IT동아	23.03.10	93	0
2456	[농업이 IT(잇)다] 맘꽃가든 “가변형 입식 베드 스마트팜, 농가 불편 해소”	IT동아	23.03.10	98	0
2455	[뉴스줌인] 오비고-토요타 협업, 국내 IT 업체들과 협력 강화하는 수입차 업계 [1]	IT동아	23.03.10	1180	0
2454	구글·네이버 위협하는 딥엘(DeepL) 번역기, 한국어 버전 품질은? [19]	IT동아	23.03.09	3154	9
2453	美·EU “中 정부에 정보 제공” 주장에 틱톡 “사실무근” [13]	IT동아	23.03.09	1044	3
2452	[스타트업-ing] 직접 체험하며 소통하는 디지털 사이니지, 쉐어박스 밋업	IT동아	23.03.09	66	0
2451	배달 앱 쇠퇴에 소상공인 “스마트 상점으로 경쟁력 강화” [6]	IT동아	23.03.09	1588	1
2450	구글 안드로이드 14 개발자판 공개, 눈에 띄는 기능은	IT동아	23.03.09	232	1
2449	LG전자, 선 없애고 더 밝아진 2023 올레드 TV 발표, “삼성 OLED TV 진출 오히려 환영” [10]	IT동아	23.03.08	1944	4
2448	[시드팁스] 리피드 전준봉 대표, “베트남에서 폐식용유를 수거합니다”	IT동아	23.03.08	104	1
2447	완전무선 이어폰 트렌드, ‘편의성’ 넘어 ‘음질’로 간다 [3]	IT동아	23.03.08	1326	3
2446	[스타트업+ing] 비젼코스모 송기봉 대표, "강소기업의 원동력은 기술력 기반의 품질 경영"	IT동아	23.03.08	72	0
2445	구글 “음성 인공지능 USM으로 세계 언어 장벽 허문다” [9]	IT동아	23.03.08	1078	5
2444	청소년 온라인 불법 도박, 치료와 함께 강한 규제 걸어야 [1]	IT동아	23.03.07	168	1
2443	'클라우드 무상 교육에 취업까지 돕는다'··· 'AWS 리스타트' 본격 가동	IT동아	23.03.07	1052	1

최근 방문

즐겨찾기

즐겨찾기 갤러리

갤러리 이슈박스, 최근방문 갤러리

연관 갤러리

개념글 리스트

차단하기

[IT동아 갤러리]

갤러리 본문 영역

▶ 갤럭시S23 시리즈 예약 판매, 구매처별 혜택은?▶ 요금제 바꾸면 낭패? '가성비' 너무 좋아 폐지/개편된 통신 서비스들▶ 개인정보는 공공재? 해킹으로, 혹은 담당자 실수로 줄줄 새는 개인정보

추천 비추천

댓글 영역

① NFT 발행

② NFT 구매

하단 갤러리 리스트 영역

왼쪽 컨텐츠 영역

갤러리 리스트 영역

페이지 이동

오른쪽 컨텐츠 영역

알림 설정

알림

디시콘 리스트

디시콘

디시콘 검색결과(0)

인기 디시콘

지갑 연결

▶ 갤럭시S23 시리즈 예약 판매, 구매처별 혜택은?▶ 요금제 바꾸면 낭패? '가성비' 너무 좋아 폐지/개편된 통신 서비스들 ▶ 개인정보는 공공재? 해킹으로, 혹은 담당자 실수로 줄줄 새는 개인정보