통신사 해킹사태, IMEI와 IMSI 뭐길래

기기 고유번호와 통신사 가입자 정보
인증키까지 유출되면 복제폰 가능해져

SK텔레콤 해킹사건에 이어 KT 무단 소액결제 사태까지 발생하면서 'IMEI'와 'IMSI'라는 용어가 잇따라 거론되고 있다./그래픽=비즈워치

SK텔레콤 해킹사건에 이어 KT 무단 소액결제 사태까지 발생하면서 'IMEI'와 'IMSI'라는 용어가 잇따라 거론되고 있다. 특히 이들이 유출되면서 '복제폰' 생성으로 이어질 수 있다는 전망에 불안감이 커지고 있다. 

복제폰은 휴대전화의 고유 식별번호를 복제해 원본 기기와 동일하게 사용할 수 있게 만든 기기를 말한다. 복제폰이 생성되면 단순한 개인정보 유출을 넘어 해당 기기를 활용한 금융 거래까지 가능해져 범죄로 이어질 가능성이 크다.

복제폰 생성에 사용되는 고유 식별번호가 바로 'IMEI'다. IMEI는 'International Mobile Equipment Identity'의 약자다. 직역하면 국제 이동통신 장비 식별번호다. 기기를 다른 단말기와 구분하는 역할로 쉽게 말해 휴대폰의 주민등록번호라고 보면 된다.

다만 IMEI만으로는 복제폰을 만들 수 없다. IMSI와 유심 인증키가 필요하다. IMSI는 'International Mobile Subscriber Identity'의 약자다. IMEI가 '기기 고유번호'라면 IMSI는 '가입자 고유번호'다. 통신사가 가입자를 식별하기 위해 유심에 저장해 둔 정보다.

여기에 마지막으로 필요한 것이 유심 인증키다. 유심 인증키는 유심의 정품 유무를 판별하는 데 쓰이는 일종의 비밀번호다. 유심 인증키는 통신사업자 서버와 유심(USIM) 칩에만 저장돼 있다. IMEI, IMSI, 유심 인증키까지 모두 유출된 경우에만 복제폰이 생성될 여지가 있다. 

지난 4월 SKT의 유심 정보 유출사건과 지난달 발생한 KT 무단 소액결제 사건과 관련해 아직까지 실제 복제폰이 생성된 사례는 확인되지 않았다.

다만 SKT는 경쟁사인 KT, LG유플러스와 달리 유심 인증키 값을 암호화하지 않고 관리해온 사실이 드러나면서 뭇매를 맞았다. 직접적인 피해 사례는 없었지만 통신 보안 관리가 허술했다는 지적이 이어졌다.

KT는 유심 인증키가 암호화된 상태로 관리돼 복제폰이 실제 생성될 가능성은 낮다고 해명했다. 그러나 IMEI, IMSI, 전화번호 등 핵심 정보가 외부로 유출된 상황인 만큼 우려가 지속되고 있다. 

류제명 과학기술정보통신부 2차관은 지난달 24일 해킹사고 관련 청문회에서 "KT가 복제에 필요한 조건(IMEI, IMSI, 인증키)들이 유출되지 않았다고 신고했지만 민관합동 조사를 통히 더욱 면밀히 살펴볼 것"이라는 입장을혔다. 

왕보경 (king@bizwatch.co.kr)

ⓒ비즈니스워치의 소중한 저작물입니다. 무단전재와 재배포를 금합니다.