[단독]SKT, 유심 확보 '시간벌이용' 논란…과기정통부 검증 미비

SKT, 유심 재설정 '유심교체와 동일효과' 강조했지만
'인증키' 안달라져…SKT "초기 오류 확인하고 조치"
과기정통부, SKT 보안대책에 대한 검증 없어

지난해 5월 12일 오후 서울 시내 T월드 매장 앞에 유심 교체 및 유심보호서비스 안내문이 게시돼 있다. SK텔레콤은 이날부터 유심 정보 일부를 변경하는 ‘유심 재설정’(유심 포맷) 솔루션을 도입했다. /사진=뉴시스

SK텔레콤이 '유심 교체와 동일하다'고 홍보했던 재설정이 실제로는 '미봉책'이었던 것으로 나타났다. 게다가 당시 SKT의 유심보호서비스·부정사용탐지시스템(FDS 2.0)의 안전성을 담보한 정부 역시 실제로는 실효성을 검증하지 않은 것으로 드러났다.

7일 SKT에 따르면 지난해 6월26일 기준으로 누적 유심교체 고객은 939만명, 재설정 고객은 31만명이다.

당시 SKT는 유출된 IMSI와 인증키로 쌍둥이폰을 만드는 '심클로닝' 가능성이 제기되자 전 가입자 대상 유심 무상교체를 시작했다. 문제는 유심 물량 대비 교체 수요가 폭증하면서 대란이 발생한 것이다. 이에 SKT는 5월12일 소프트웨어적으로 사용자 식별·인증 정보를 바꾸는 유심 재설정을 선보이며 "유심 교체와 동등한 보안 효과를 내면서 편의성은 더 높다"고 홍보했다.

그러나 박신조 독일 베를린공대 박사와 반용휴 보안전문가 연구 결과, 유심 재설정시 유심정보 2종(IMSI와 인증키) 중 인증키 값은 달라지지 않은 것으로 나타났다. 박 박사는 머니투데이에 "유심 재설정과 유심보호서비스로 유심 재고 확보시간을 벌려 했던 것으로 보인다"고 말했다.

━

"유심 교체가 제일 안전"…SKT "올해도 가능"

━

/사진=SKT

전문가들은 인증키 값이 유출됐을 때 최악의 경우 도청까지 가능하다고 진단한다. 염흥열 순천향대정보보호학과 교수는 "유심 재설정시 인증키가 달라지지 않았다면 SKT가 기술적으로 잘못한 것"이라며 "IMSI를 평문으로 전송하는 LTE 환경에선 유출된 인증키를 활용해 암호화된 음성을 복호화하는 도청도 기술적으로 불가능하지 않다"고 지적했다.

김용대 카이스트 전기전자공학부 교수는 "이동통신 세대별로 유심 재설정시 인증키 교체 여부가 다르다. 5G 유심을 사용할 경우 인증키가 교체되지만, LTE 유심은 그렇지 않다"며 "유심을 교체하는 게 제일 좋다"고 말했다.

SKT 해킹 사태를 조사하며 적극적으로 행정지도를 내리던 과학기술정보통신부는 유심 재설정이 실제로 유심 교체와 동일한 효과를 내는지 따로 검증하지 않은 것으로 확인됐다. 과기정통부가 민관합동조사단 2차 조사 결과에서 "쌍둥이폰이 만들어졌어도 무력화되는 시스템"이라고 설명한 FDS 2.0도 별도로 검증하지 않았다. 정부와 SKT 모두 당시 유심 대란 해소에만 급급한 나머지 소비자에 정확한 정보를 전달하지 않았다는 지적이 제기되는 부분이다.

SKT는 "유심 재설정 시행 초기엔 일부 유심에 한해 인증키가 고정되는 문제가 발생했지만 현재는 수정된 상태"라며 "유심 재설정 고객이 많지 않은 데다, 인증키가 유출되더라도 FDS로 2차 피해를 막을 수 있다"고 말했다. 이어 "LTE 환경에서 도·감청이 이뤄지려면 기지국 해킹 등 여러개의 기술적 방어막이 뚫려야해 현실적으로 불가능하다"며 "유심 재설정 이후 인증키 악용이나 2차 피해사례도 확인되지 않았다. 유심 재설정을 한 가입자도 1회에 한해 언제든 무상교체가 가능하다"고 덧붙였다.

윤지혜 기자 yoonjie@mt.co.kr