LG유플러스의 '무료 유심교체'..해킹 피해 줄일 수 있을까?

IT동아 · 2023.02.20 19:02:43

[IT동아 정연호 기자] 개인정보유출에 대한 LG유플러스의 대책이 안이하다는 지적이 나온다. 유출된 개인정보 중 단말기고유식별번호(IMEI)는 단말기 고유 번호라서 이들이 제시한 대응 방안 중 하나인 ‘유심교체’만으로는 심 스와핑에 대처하지 못한다는 것이다.

LG유플러스는 올해 1월 10일 18만 명에 달하는 고객의 성명, 생년월일, 전화번호 등 개인정보가 유출됐다고 밝혔다. 이후 늘어난 피해자까지 포함한 29만 명 중에는 기존고객과 해지고객이 모두 포함된다. 납부 관련 금융정보는 포함되지 않았다는 게 회사 측 설명이다.

LG유플러스가 올린 사과문, 출처=LG유플러스

LG유플러스는 이번 사태에 대한 사과문을 발표하면서 △정보보호 관련 조직의 인력과 투자 확대 △외부 보안 전문가를 통한 취약점 사전 점검 △선진화된 보안기술을 적용 △사이버 보안 전문인력 육성 △ 사이버 보안 혁신활동 보고서 발간 등 사이버 안전혁신안을 제시했다. 개인정보가 유출된 고객은 오늘 20일부터 LG유플러스 매장에서 무료로 유심을 교체할 수 있다.

LG유플러스의 ‘무료 유심교체’ 두고 인터넷 커뮤니티에선 심 스와핑(SIM Swapping) 해킹의 가능성이 거론되고 있다. 심 스와핑은 휴대전화의 유심 정보를 복제해 이를 장착하는 수법을 말한다. 이번에 유출된 정보엔 IMEI라는 휴대폰 단말기 고유 번호가 있다. IMSI(유심고유식별번호), IMEI 등의 정보를 통해서 유심을 복제할 수 있다는 지적이다. 일각에선 “유심칩을 교체한다고 해서 단말기 고유 번호까지 교체되는 게 아니기 때문에 단말기까지 변경해야 한다”는 주장이 나온다.

심 스와핑은 다른 개인정보와 결합해 금융 자산을 탈취하는 방식으로 진행된다. 유심을 복제해 새로운 단말기에 끼우면 해당 번호로 가는 문자와 메시지를 받을 수 있다. 은행이나 거래소 등에서 본인인증을 위한 메시지를 받아서 인증을 해제하고 자산에 손을 대는 것이다. 금융 앱의 비밀번호를 몰라도 휴대전화 인증을 통해 비밀번호 재설정할 수 있다. 심 스와핑에 당하게 되면 전화나 문자가 송수신되지 않거나, 네트워크 접속 불가 등의 메시지가 뜬다.

LG유플러스는 유출된 개인정보만으로는 유심칩을 복사할 수 없다는 입장이다. LG유플러스 관계자는 IMEI 정보가 공개됐다는 주장에 대해 “IMEI 정보를 활용하려면 이를 위한 별도의 네트워크 인증키가 필요하다”고 답했다. 이어, 그는 “네트워크 키가 유출됐더라도 해당 키는 일회성이기 때문에 계속 사용할 수 없다”고 주장했다. 유심칩을 무료로 교체해주는 이유는 “변경하지 않아도 별다른 문제가 없지만, 개인정보 유출로 불안을 느끼는 사람을 위한 것”이라고 한다.

‘다른 개인정보와 결합하면 이를 기반으로 고객센터에 전화해 기존 유심을 폐기하고 새로운 유심을 발급받을 수 있지 않나’라는 물음에는 “그건 쉽지 않다”는 답을 냈다. 그는 “유심을 개통하면 기존 휴대전화 주인은 통신이 끊기는 걸 알기 때문에 바로 이상 신고를 할 것”이라고 했다.

다만, 해커들은 스마트폰에 악성 앱을 깔게 하면서 개인정보를 탈취할 수 있기 때문에 가능성을 완전히 배제할 수는 없다. 게다가 이들은 이용자가 잠을 자는 새벽에 심 스와핑을 진행하는 것으로 알려졌다. 실제로 해외에선 해커들이 표적의 SNS 등에서 이메일, 생일 등의 개인정보를 수집했다.

국내에서도 통신사 KT 이용자의 심 스와핑 피해 의심사례들이 있다. 이들은 수십만 원에서 수억 원까지 피해를 본 것으로 알려졌다. 복제된 유심칩이 개통되면 기존 휴대전화 통신이 끊기기 때문에 사람들이 잠을 자는 새벽 시간대에 범행이 발생한다. 아침에 일어났을 때 피해자들은 가상자산 거래소에서 코인 등의 금융자산이 도난당했다는 걸 알게 된다.

해외에선 암호화폐 투자자가 통신사 상대로 심 스와핑 관련해 2억 2400만 달러 규모 소송을 냈다. AT&T 대리점 직원이 심 스와핑을 도왔다는 정황이 밝혀졌기 때문이다. 트위터 전 CEO 잭 도시의 트위터 계정도 심 스와핑 방식으로 해킹당해 ‘히틀러는 죄가 없다’는 글이 올라왔다.

이번 개인정보 유출 사건에서 맥(MAC) 주소까지 노출된 것도 불안을 키운다. PC나 스마트폰처럼 인터넷 사용이 가능한 단말 기기에 부여되는 고유 번호를 맥 주소라고 한다. 보안 전문가들은 기기의 로그 기록과 결합하면 기기 사용 패턴, 관심사 등에 대한 정보를 추론할 수 있다고 경고한다.

문제는 LG유플러스가 사고를 밝히고 대응하는 과정에서 신뢰를 잃고 있다는 점이다. 이들이 피해에 대한 모니터링을 강화하겠다고 밝혀도 고객들의 불안이 사라지지 않는 이유다.

LG유플러스는 18만 명의 고객 정보가 일부 유출된 걸 확인했어도 일주일이 지나서야 이를 고객에게 공지했다. 유출 사실도 한국인터넷진흥원(KISA)의 안내를 통해서 알게됐다. 개인정보 유출 초기 해커와 거래를 한 사실은 알리지 않았다. 게다가 LG유플러스는 지난해 12월 정상적이지 않은 외부 침입이 있었고, 이들이 고객의 요금제 정보를 바꾼 것으로 알려졌다. 하지만, 그 이후로 보안을 보완하거나 고객정보처리를 강화하지 않았다는 지적이 나온다.

정보보호 투자액 전체 상위 10대 기업, 출처=과학기술정보통신부

정보보호 전담인력 상위 10대 기업, 출처=과학기술정보통신부

LG유플러스는 통신3사 중에서도 정보보안 투자에서 가장 뒤처졌다는 평가를 받아왔다. KT와 SK텔레콤이 정보보호 투자액에 각각 1021억 원, 627억 원을 투자하는데 비해 LG유플러스는 292억 원에 불과하다. 정보보호 전담 인력도 SK텔레콤이 196.1명, KT가 335.8명, LG유플러스는 91.2명이었다. LG유플러스는 연간 정보보호투자액을 현재 3배인 1000억 원으로 확대하겠다고 밝혔다.

글 / IT동아 정연호 (hoho@itdonga.com)

사용자 중심의 IT 저널 - IT동아 (it.donga.com)

번호	제목	글쓴이	작성일	조회	추천
설문	SNS로 싸우면 절대 안 질 것 같은 고집 있는 스타는?	운영자	24/05/06	-	-
3667	[뉴스줌인] 삼성 올인원 Pro, 일체형 PC 한계 넘을까?	IT동아	04.08	308	0
3666	윤곽 드러난 PCIe 7.0··· '최대 512GB 대역폭으로 AI 시장 보조'	IT동아	04.08	201	0
3665	[신차공개] BMW ‘뉴 X2’ 출시·로터스 ‘에메야’ 제원 공개	IT동아	04.08	191	0
3664	수많은 일정 간편하게 공유하려면 이렇게![이럴땐 이렇게!]	IT동아	04.08	660	1
3663	[주간투자동향] 티오더, 300억 원대 시리즈B 투자 유치	IT동아	04.08	153	0
3662	[생성 AI 길라잡이] AI로 만든 콘텐츠, 저작권 인정될까? [1]	IT동아	04.05	289	0
3661	윤희현 엠디글로벌넷 대표 “스타트업 창업에서 해외진출까지 함께”	IT동아	04.05	193	0
3660	[농업이 IT(잇)다] 친환경 농업용 냉·난방기 개발 기업 ‘아이토브에너지’	IT동아	04.05	202	1
3659	[KESIA 시드팁스] 혈관독성약물 국소전달 플랫폼 ‘바스블록’으로 항암치료 혁신 꿈꾼다, 박정호 엔도큐라 대표	IT동아	04.05	187	0
3658	닥터호두 “품질·맛 좋은 국산 호두, 신선하고 편하게 먹도록 제공합니다” [7]	IT동아	04.05	1079	1
3657	차트분석 도구 ‘트레이딩뷰’ 파고들기 - 5 [1]	IT동아	04.04	622	1
3656	골드문트, 하이파이 스피커 라인업 출시 ‘새로운 사운드·성능 제공’	IT동아	04.04	262	0
3655	티맵 “2000만 데이터 학습한 AI 앞세워 초개인화 서비스 나설 것”	IT동아	04.04	363	0
3654	AI 하드웨어 생태계의 시작이자 기준, 'MLPerf'란 무엇인가?	IT동아	04.04	983	0
3653	[스타트업人] 스타트업의 동반자, 서울창조경제혁신센터 '창업 액셀러레이터' 이야기	IT동아	04.04	228	0
3652	삼성전자, 알아서 챙겨주는 '비스포크 AI' 가전 생태계 선보여	IT동아	04.03	409	0
3651	[기고] 시급한 위성항법시스템 구축과 제반 기술 경쟁력 강화	IT동아	04.03	186	0
3650	빗썸, 출금 수수료 인하·신규 기능 추가 ‘거래 편의 강화’	IT동아	04.03	190	0
3649	갤럭시 S23에도 적용된 AI 기능, S24와 비교하면? [5]	IT동아	04.03	2447	1
3648	[자동차와 法] 자동차 튜닝…어디까지 합법일까? [1]	IT동아	04.03	1633	0
3647	‘측면으로 부족해’ PC 케이스 시장 대세는 다 보이는 어항형 케이스 [16]	IT동아	04.03	969	1
3646	포르쉐, 3세대 신형 파나메라 출시…’효율·주행 성능·편의성’ 강화	IT동아	04.02	205	0
3645	[IT신상공개] 악기·AV 기기 기술 집약, 야마하 하이파이 앰프·스피커	IT동아	04.02	181	0
3644	글로벌 거래소 크립토닷컴 ‘4월 29일 한국 서비스 론칭’	IT동아	04.02	173	0
3643	[2024 고려대 초창패] 반려견과 보호자를 위한 산책 메이트 ‘달려갈개’ [6]	IT동아	04.02	4071	4
3642	[KESIA 시드팁스] 아타드 박영선 대표 "미래를 바꿀 힘, 데이터에 있습니다"	IT동아	04.02	1481	1
3641	[뉴스줌인] 해상도∙주사율 원터치 전환? 신형 LG 게이밍 모니터 이모저모	IT동아	04.02	448	0
3640	[IT애정남] 테무·알리익스프레스 이용··· 개인 정보는 안전한가요?	IT동아	04.01	556	0
3639	LG유플러스 "소상공인 AX 솔루션으로 27년까지 매출 2000억 달성"	IT동아	04.01	160	0
3638	봄 꽃 나들이·여름 휴가 갈 때 참조할 만한 서비스는? [이럴땐 이렇게!]	IT동아	04.01	814	0
3637	안랩, 유명인 사칭 SNS 및 투자 채팅방으로 돈 뜯는 ‘온라인 스캠’ 경고	IT동아	03.31	274	0
3636	삼성전자, '갤럭시 AI' 지원 확대, S23·폴드5·플립5등에 업데이트 실시	IT동아	03.31	233	0
3635	차트 분석을 위한 모니터, 선택부터 구성까지 어떻게? [24]	IT동아	03.30	7216	5
3634	[뉴스줌인] 삼성의 신형 인덕션, ‘국내 유일’ 원격 제어 기능 탑재? 정말?	IT동아	03.30	185	0
3633	[생성 AI 길라잡이] 인공지능으로 색다른 그림을 그려보자 – 크레아 AI	IT동아	03.29	163	0
3632	업계 "건설근로자 도울 기능등급제 전파"	IT동아	03.29	165	0
3631	AI 기술이전 프로그램으로 ETRI-중소기업 상생∙동반성장 ‘기대’	IT동아	03.29	150	0
3630	[IT강의실] 생성형 AI의 최대 난제, '할루시네이션'	IT동아	03.29	159	0
3629	[IT애정남] 복잡한 쇼핑몰에서 ‘실내지도’는 정말 유용할까요?	IT동아	03.29	140	0
3628	[농업이 IT(잇)다] 히즈 “한국적 원료로 만든 웰니스 뷰티 ‘리솔츠’로 해외 프리미엄 시장 공략”	IT동아	03.29	138	0
3627	[IT강의실] 가상자산 시장 흐름 알 수 있는 ‘가상자산 지수’	IT동아	03.29	1707	0
3626	‘롤스로이스’ 청담 쇼룸 새단장…개관 20주년 기념 차량 '청담 에디션' 선봬 [5]	IT동아	03.29	1205	4
3625	차트분석 도구 ‘트레이딩뷰’ 파고들기 - 4 [6]	IT동아	03.29	1898	0
3624	[KESIA 시드팁스] 전기화학 기반 이산화탄소 포집 기술 개발하는 ‘비욘드캡처’	IT동아	03.28	129	0
3623	비트코인 상승세에 가상자산 사기 기승, 주의 사항은?	IT동아	03.28	691	0
3622	인텔, AI PC 가속화 프로그램 확대··· '하드웨어 지원도 추가' [1]	IT동아	03.28	572	0
3621	수리비 비싸서, 모델 적어서…국내 폴더블폰 시장 ‘주춤’ [7]	IT동아	03.27	1102	3
3620	[IT애정남] 오래된 디지털 카메라, 제대로 된 제품 고르는 방법은?	IT동아	03.27	357	0
3619	벤틀리와 한국 현대미술의 만남…‘컨티넨탈 GT 코리아 에디션’	IT동아	03.27	207	0
3618	레노버, 인텔·MS와 손잡고 AI PC 시대 연다 [3]	IT동아	03.27	972	4

최근 방문

즐겨찾기

즐겨찾기 갤러리

갤러리 이슈박스, 최근방문 갤러리

연관 갤러리

개념글 리스트

차단하기

[IT동아 갤러리]

갤러리 본문 영역

▶ 갤럭시S23 시리즈 예약 판매, 구매처별 혜택은?▶ 요금제 바꾸면 낭패? '가성비' 너무 좋아 폐지/개편된 통신 서비스들▶ 개인정보는 공공재? 해킹으로, 혹은 담당자 실수로 줄줄 새는 개인정보

추천 비추천

댓글 영역

① NFT 발행

② NFT 구매

하단 갤러리 리스트 영역

왼쪽 컨텐츠 영역

갤러리 리스트 영역

페이지 이동

오른쪽 컨텐츠 영역

알림 설정

알림

디시콘 리스트

디시콘

디시콘 검색결과(0)

인기 디시콘

지갑 연결

▶ 갤럭시S23 시리즈 예약 판매, 구매처별 혜택은?▶ 요금제 바꾸면 낭패? '가성비' 너무 좋아 폐지/개편된 통신 서비스들 ▶ 개인정보는 공공재? 해킹으로, 혹은 담당자 실수로 줄줄 새는 개인정보