안녕하세요,
AI 기반 아이덴티티 플랫폼 아르고스 아이덴티티(ARGOS Identity) 입니다.
최근 SK텔레콤(SKT)에서 발생한 대규모 유심(USIM) 정보 유출 사고가 이슈가 되고 있습니다.
약 2,300만 명에 달하는 가입자 정보가 유출되면서, 휴대폰 본인 인증의 한계와 다중 인증(Multi-Factor Authentication,MFA)의 필요성이 다시 주목받고 있습니다.
오늘은 이번 사건의 발생 원리부터 우리가 개인정보 유출을 막기위해 사전에 대비할 수 있는 보안 대책까지 자세히 알아보겠습니다.
다중 인증 체계가 필요한 이유?
2025년 4월 19일, SK텔레콤은 일부 유심 관련 고객 정보가 악성코드를 통해 유출된 정황을 발견했다고 발표했습니다. 사고 발생 직후, SK텔레콤은 악성코드 삭제, 의심 장비 격리, 한국인터넷진흥원(KISA) 및 개인정보보호위원회 신고 등의 조치를 취했습니다.이번 사고로 인해 KB라이프, NH농협생명 등 주요 금융기관은 SKT 기반의 휴대폰 본인 인증을 일시적으로 중단하기도 했습니다.
휴대폰 인증을 왜 중단했을까요?
인증 수단 취약성: USIM 기반 인증은 해커에 의한 우회 가능성
피해 확산 방지: 보험금 지급 등 민감한 금융 거래에서 부정 사용 방지를 위한 선제 조치
보안 강화 필요성: 금융감독원의 휴대폰 본인 인증 시스템에 대한 추가 인증 수단 도입 권고
특히 가장 우려되는 범죄는 ‘심스와핑(SIM Swapping)’ 이었습니다. 심스와핑은 유심 정보를 도용하거나, 복제해 휴대폰 인증 번호를 가로채고, 이를 통해 금융 계좌나 가상자산을 탈취하는 신종 해킹 수법입니다. 실제로 부산에서는 60대 남성이 모르는 사이 알뜰폰이 개통되고, 은행 계좌에서 5,000만 원이 인출되는 사건이 발생했습니다.
유출 사고가 발생한 순서!
유심 유출 사고가 발생하게 된 순서를 간단하게 살펴보도록 하겠습니다. HSS(Home Subscriber Server) 는 이동통신사의 핵심 인프라로 가입자의 USIM 정보(IMSI, Ki) 를 저장·관리하는 시스템입니다.
IMSI: 국제 모바일 가입자 식별번호
Ki: 가입자 고유 암호화 키 (128비트 비밀 키)
해커가 HSS를 해킹해 이 데이터를 탈취하면, 피해자와 동일한 신원으로 통신망을 장악할 수 있습니다.
USIM 복제와 심스와핑(SIM Swapping) 진행 과정
IMSI와 Ki가 탈취되면 복제 가능한 핵심 인증 정보가 확보됩니다. 이후 물리적 복제를 통해 다른 유심에 IMSI와 Ki를 그대로 복제하거나, 논리적 복제를 통해 통신사 시스템을 조작하여 새로운 유심에 IMSI와 Ki를 할당할 수 있습니다.
복제된 유심은 네트워크 인증을 우회하여 기지국과 인증 프로토콜을 정상적으로 통과하게 되며, 통신사는 이를 정상 유심으로 인식하게 됩니다. 이로 인해 SMS 기반 2차 인증이 탈취되어 금융 앱이나 가상자산 OTP를 가로채 계정에 접근하거나 자산을 이체하는 피해가 발생할 수 있습니다.
또한, 피해자 명의로 대포폰을 개통해 보이스피싱 등 범죄에 악용되는 추가 피해로 확산될 위험도 있습니다. 통신사 시스템은 IMSI와 Ki를 기반으로 가입자를 인증하기 때문에, 복제된 유심 역시 정상 가입자처럼 인식되어 공격이 쉽게 탐지되지 않는다는 점이 문제입니다.
암호화 키(Ki)는 통신사와 USIM 간의 상호 인증 과정에서 중요한 역할을 합니다. 통신사와 USIM은 동일한 암호화 키를 기반으로 같은 응답값(SRES)을 계산하여 서로를 인증합니다.
또한, Ki는 통화나 데이터 전송 시 사용하는 세션 키(Kc)를 생성하는 데에도 활용되어, 전송되는 데이터를 암호화하는 데 필수적인 역할을 합니다. 만약 Ki가 유출될 경우, 이를 되돌릴 방법은 없습니다. 유출된 Ki를 복구하거나 재설정할 수 없기 때문에, 문제를 해결하려면 유심 전체를 교체하는 방법밖에 없습니다.
해외에서도 발생했던 통신사 데이터 유출 사례!
2021년 미국 2위 통신 기업 T 모바일의 가입자 1억명 이상의 개인 정보가 유출된 사례가 있었습니다. 해커들은 가입자의 사회보장번호(SSN), 전화번호, 이름, 실거지 주소, 운전면허 정보, 스마트폰 식별 정보 등 통신 가입에 필요한 대부분의 정보를 빼냈습니다.
스마트폰의 식별번호와 이름 등이 유출되었다는 것은 사용자가 사용하는 스마트폰 기종이 무엇인지까지 파악이 가능하다는 뜻입니다. 실제 해커들이 판매를 위해 샘플로 제공한 데이터에서 T모바일 고객의 개인정보가 정확히 적혀 있기도 했습니다.
개인 정보 유출을 막기 위해서는 어떻게 해야할까요?
유심 복제를 통한 피해를 막기 위해 이용자가 직접 취할 수 있는 몇 가지 주요 대응 방법이 있습니다.
유심 보호 서비스 가입 : 등록된 기기(IMEI) 외에는 유심 사용을 차단하는 방식으로, SK텔레콤 고객의 경우 T월드 앱에서 부가서비스 메뉴를 통해 '유심보호서비스'에 무료로 가입할 수 있습니다.
명의 도용 차단 서비스 이용 : 엠세이퍼(M-Safer) 서비스를 통해 타인이 내 명의로 휴대폰을 개통하려는 시도를 사전에 차단할 수 있습니다.
이메일 알림 설정 : USIM 재발급이나 기기 변경이 발생할 경우, 즉시 알림을 받을 수 있도록 이메일 알림 기능을 활성화해야 빠른 대응이 가능합니다.
하지만 여전히 통신사의 기술적 한계도 존재합니다. 우선, Ki는 재생성할 수 없기 때문에 유출이 발생하면 유심 전체를 교체해야만 합니다. 또한, 복제 유심과의 동기화 지연으로 인해 실시간으로 공격을 차단하는 데 한계가 있으며, 그 사이에 공격이 발생할 수 있습니다. 이를 보완하기 위해 SK텔레콤은 2025년 7월부터 양자암호 기반 HSS 보안 업그레이드를 시행할 예정입니다.
결론적으로, HSS 해킹은 단순한 개인정보 유출을 넘어서는 심각한 문제입니다. 이는 곧 디지털 신원의 완전 복제를 의미합니다. 지금 이 시점에서 우리는 다중 인증(MFA)을 적극 도입하고, 유심 보호를 강화하며, SMS 인증 방식을 점진적으로 폐기하는 등의 선제적 조치를 취해야만 합니다.
ARGOS가 보완책이 될 수 있는 부분은?
아르고스의 ID check는 통신망이나 단말기에 의존하지 않고, 사용자의 실질적인 신원정보(신분증, 얼굴 등)를 독립적으로 검증하는 end-to-end 인증 체계를 제공합니다. 신분증 OCR, 얼굴인식, Liveness Detection 등 다중 요소를 활용해 단말기를 넘어 사람을 인증하기 때문에 복제 유심만으로는 ID check를 통과할 수 없습니다.
ID check는 인증 강도나 절차를 상황에 맞게 유연하게 조정할 수 있어 금융 거래나 고액 자산의 이동처럼 높은 수준의 신원 확인이 필요한 경우에도 선제적인 보안 강화가 가능합니다. 통신망 기반 인증이 복제 유심 공격에 쉽게 노출 되는 반면, ID check는 사람의 실체를 직접 확인하는 방식이기 때문에 복제나 탈취 공격을 원천적으로 차단합니다.
이외에도 ARGOS ID check가 보완책이 될 수 있는 이유는 아래와 같습니다.
강력한 보안성과 정확성
AI 기반 신원 인증: ARGOS는 인공지능을 활용하여 위조 및 사기 시도를 효과적으로 탐지하고 방지합니다.
높은 정확도: 99.996%의 정확도로 신원 인증을 수행하여 신뢰성을 확보합니다.
글로벌 호환성과 유연성
다양한 문서 인식: 전 세계 195개국의 4,000여 종의 신분증과 문서를 자동으로 인식하여 글로벌 서비스에 적합합니다.
다양한 환경 대응: 마스크나 헬멧 착용 여부를 확인하는 추가 옵션을 통해 다양한 환경에서도 편리하게 사용할 수 있습니다.
간편한 도입과 운영
빠른 도입: 개발자 없이도 5분 만에 도입이 가능하여 기업의 리소스를 절약할 수 있습니다.
자동화된 서비스: 인증 과정을 자동화하여 업무 처리 속도와 정확도를 높이고 운영 비용을 절감합니다.
사고 발생 이후, SK텔레콤은 25년 4월 28일 오전 10시부터 전국 2,600여 개 T월드 매장 및 주요 공항 로밍센터에서 SK텔레콤 이용자 전원 (일부 키즈폰, 워치 제외), SKT 망을 이용하는 알뜰폰(MVNO) 가입자 포함 고객을 대상으로 유심 무료 교체 프로그램을 실시하고 있습니다.
이번 유심 정보 유출 사고는 개인정보 보호의 중요성을 다시 한 번 일깨워준 사례가 되었습니다. 이용자들은 안내에 따라 신속하게 유심 교체를 완료하고, 추가적인 보안 조치를 취해 2차적으로 발생하는 피해를 막는 것이 중요합니다.
최근 다양한 인증 수단에서 보안 강화의 필요성이 커지고 있는 만큼, 보다 신뢰할 수 있는 end-to-end 인증 솔루션인 ID check를 함께 검토해보는 것도 좋은 방법입니다.
