LG유플러스의 '무료 유심교체'..해킹 피해 줄일 수 있을까?

IT동아

2023.02.20 19:02:43

조회 1746 추천 2 댓글 7

[IT동아 정연호 기자] 개인정보유출에 대한 LG유플러스의 대책이 안이하다는 지적이 나온다. 유출된 개인정보 중 단말기고유식별번호(IMEI)는 단말기 고유 번호라서 이들이 제시한 대응 방안 중 하나인 ‘유심교체’만으로는 심 스와핑에 대처하지 못한다는 것이다.

LG유플러스는 올해 1월 10일 18만 명에 달하는 고객의 성명, 생년월일, 전화번호 등 개인정보가 유출됐다고 밝혔다. 이후 늘어난 피해자까지 포함한 29만 명 중에는 기존고객과 해지고객이 모두 포함된다. 납부 관련 금융정보는 포함되지 않았다는 게 회사 측 설명이다.

LG유플러스가 올린 사과문, 출처=LG유플러스

LG유플러스는 이번 사태에 대한 사과문을 발표하면서 △정보보호 관련 조직의 인력과 투자 확대 △외부 보안 전문가를 통한 취약점 사전 점검 △선진화된 보안기술을 적용 △사이버 보안 전문인력 육성 △ 사이버 보안 혁신활동 보고서 발간 등 사이버 안전혁신안을 제시했다. 개인정보가 유출된 고객은 오늘 20일부터 LG유플러스 매장에서 무료로 유심을 교체할 수 있다.

LG유플러스의 ‘무료 유심교체’ 두고 인터넷 커뮤니티에선 심 스와핑(SIM Swapping) 해킹의 가능성이 거론되고 있다. 심 스와핑은 휴대전화의 유심 정보를 복제해 이를 장착하는 수법을 말한다. 이번에 유출된 정보엔 IMEI라는 휴대폰 단말기 고유 번호가 있다. IMSI(유심고유식별번호), IMEI 등의 정보를 통해서 유심을 복제할 수 있다는 지적이다. 일각에선 “유심칩을 교체한다고 해서 단말기 고유 번호까지 교체되는 게 아니기 때문에 단말기까지 변경해야 한다”는 주장이 나온다.

심 스와핑은 다른 개인정보와 결합해 금융 자산을 탈취하는 방식으로 진행된다. 유심을 복제해 새로운 단말기에 끼우면 해당 번호로 가는 문자와 메시지를 받을 수 있다. 은행이나 거래소 등에서 본인인증을 위한 메시지를 받아서 인증을 해제하고 자산에 손을 대는 것이다. 금융 앱의 비밀번호를 몰라도 휴대전화 인증을 통해 비밀번호 재설정할 수 있다. 심 스와핑에 당하게 되면 전화나 문자가 송수신되지 않거나, 네트워크 접속 불가 등의 메시지가 뜬다.

LG유플러스는 유출된 개인정보만으로는 유심칩을 복사할 수 없다는 입장이다. LG유플러스 관계자는 IMEI 정보가 공개됐다는 주장에 대해 “IMEI 정보를 활용하려면 이를 위한 별도의 네트워크 인증키가 필요하다”고 답했다. 이어, 그는 “네트워크 키가 유출됐더라도 해당 키는 일회성이기 때문에 계속 사용할 수 없다”고 주장했다. 유심칩을 무료로 교체해주는 이유는 “변경하지 않아도 별다른 문제가 없지만, 개인정보 유출로 불안을 느끼는 사람을 위한 것”이라고 한다.

‘다른 개인정보와 결합하면 이를 기반으로 고객센터에 전화해 기존 유심을 폐기하고 새로운 유심을 발급받을 수 있지 않나’라는 물음에는 “그건 쉽지 않다”는 답을 냈다. 그는 “유심을 개통하면 기존 휴대전화 주인은 통신이 끊기는 걸 알기 때문에 바로 이상 신고를 할 것”이라고 했다.

다만, 해커들은 스마트폰에 악성 앱을 깔게 하면서 개인정보를 탈취할 수 있기 때문에 가능성을 완전히 배제할 수는 없다. 게다가 이들은 이용자가 잠을 자는 새벽에 심 스와핑을 진행하는 것으로 알려졌다. 실제로 해외에선 해커들이 표적의 SNS 등에서 이메일, 생일 등의 개인정보를 수집했다.

국내에서도 통신사 KT 이용자의 심 스와핑 피해 의심사례들이 있다. 이들은 수십만 원에서 수억 원까지 피해를 본 것으로 알려졌다. 복제된 유심칩이 개통되면 기존 휴대전화 통신이 끊기기 때문에 사람들이 잠을 자는 새벽 시간대에 범행이 발생한다. 아침에 일어났을 때 피해자들은 가상자산 거래소에서 코인 등의 금융자산이 도난당했다는 걸 알게 된다.

해외에선 암호화폐 투자자가 통신사 상대로 심 스와핑 관련해 2억 2400만 달러 규모 소송을 냈다. AT&T 대리점 직원이 심 스와핑을 도왔다는 정황이 밝혀졌기 때문이다. 트위터 전 CEO 잭 도시의 트위터 계정도 심 스와핑 방식으로 해킹당해 ‘히틀러는 죄가 없다’는 글이 올라왔다.

이번 개인정보 유출 사건에서 맥(MAC) 주소까지 노출된 것도 불안을 키운다. PC나 스마트폰처럼 인터넷 사용이 가능한 단말 기기에 부여되는 고유 번호를 맥 주소라고 한다. 보안 전문가들은 기기의 로그 기록과 결합하면 기기 사용 패턴, 관심사 등에 대한 정보를 추론할 수 있다고 경고한다.

문제는 LG유플러스가 사고를 밝히고 대응하는 과정에서 신뢰를 잃고 있다는 점이다. 이들이 피해에 대한 모니터링을 강화하겠다고 밝혀도 고객들의 불안이 사라지지 않는 이유다.

LG유플러스는 18만 명의 고객 정보가 일부 유출된 걸 확인했어도 일주일이 지나서야 이를 고객에게 공지했다. 유출 사실도 한국인터넷진흥원(KISA)의 안내를 통해서 알게됐다. 개인정보 유출 초기 해커와 거래를 한 사실은 알리지 않았다. 게다가 LG유플러스는 지난해 12월 정상적이지 않은 외부 침입이 있었고, 이들이 고객의 요금제 정보를 바꾼 것으로 알려졌다. 하지만, 그 이후로 보안을 보완하거나 고객정보처리를 강화하지 않았다는 지적이 나온다.

정보보호 투자액 전체 상위 10대 기업, 출처=과학기술정보통신부

정보보호 전담인력 상위 10대 기업, 출처=과학기술정보통신부

LG유플러스는 통신3사 중에서도 정보보안 투자에서 가장 뒤처졌다는 평가를 받아왔다. KT와 SK텔레콤이 정보보호 투자액에 각각 1021억 원, 627억 원을 투자하는데 비해 LG유플러스는 292억 원에 불과하다. 정보보호 전담 인력도 SK텔레콤이 196.1명, KT가 335.8명, LG유플러스는 91.2명이었다. LG유플러스는 연간 정보보호투자액을 현재 3배인 1000억 원으로 확대하겠다고 밝혔다.

글 / IT동아 정연호 (hoho@itdonga.com)

사용자 중심의 IT 저널 - IT동아 (it.donga.com)

▶ 갤럭시S23 시리즈 예약 판매, 구매처별 혜택은?▶ 요금제 바꾸면 낭패? '가성비' 너무 좋아 폐지/개편된 통신 서비스들 ▶ 개인정보는 공공재? 해킹으로, 혹은 담당자 실수로 줄줄 새는 개인정보

고정닉 0

원본 첨부파일 3본문 이미지 다운로드

전체 댓글 0개

등록순

본문 보기

타인의 권리를 침해하거나 명예를 훼손하는 댓글은 운영원칙 및 관련 법률에 제재를 받을 수 있습니다.
Shift+Enter 키를 동시에 누르면 줄바꿈이 됩니다.

갤러리 리스트
번호	제목	글쓴이	작성일	조회	추천
설문	손해 보기 싫어서 피해 입으면 반드시 되갚아 줄 것 같은 스타는?	운영자	24/11/18	-	-
2402	"실례지만 누구세요?"... 진화하는 카카오톡 메신저피싱 [7]	IT동아	23.02.22	3316	0
2401	[시드팁스] 퓨쳐리즘랩스 이범근 대표, “가상자산도 또 하나의 투자 상품일 수 있습니다”	IT동아	23.02.22	149	0
2400	[박진성의 블록체인 바로알기] 18. 블록체인 프로젝트 검증하기, 세 번째	IT동아	23.02.22	130	0
2399	굿파머스그룹·씨앗 “농부 지식자산을 인공지능 농업 토대로”	IT동아	23.02.22	136	0
2398	[가상자산 제대로 알기] 14. STO(증권형 토큰 발행)의 새로운 시작	IT동아	23.02.22	129	0
2397	[마인드테크 시대가 온다] 1. 마인드테크가 뜨는 이유	IT동아	23.02.22	144	0
2396	[IT애정남] 지금 13세대 코어 PC 사려면 DDR4? DDR5? 어떤 메모리 선택? [6]	IT동아	23.02.21	1627	0
2395	피싱과 금융사고에 취약한 인뱅...안전망 구축 필요해	IT동아	23.02.21	1156	0
2394	한 주 앞으로 다가온 MWC 2023, 주요 참가 기업과 의제는?	IT동아	23.02.21	200	0
2393	[뉴스줌인] NFT 아트 전시회에서 먼저 만나는 LG전자 최신 TV	IT동아	23.02.20	762	0
	LG유플러스의 '무료 유심교체'..해킹 피해 줄일 수 있을까? [7]	IT동아	23.02.20	1746	2
2391	[메타버스에 올라타자] 2. 메타버스에 관심 가져야 하는 이유	IT동아	23.02.20	157	0
2390	인공지능, 검색광고 대행에 콘텐츠도 만들어주는 시대 온다	IT동아	23.02.20	139	0
2389	이중 인증 유료화 나선 트위터, 나비 효과 불러오나 [16]	IT동아	23.02.20	4517	7
2388	[주간투자동향] 모요, 30억 원 규모의 프리-시리즈A 투자 유치 [1]	IT동아	23.02.20	583	0
2387	[농업이 IT(잇)다] 고기365 “날 것 그대로 보여주는 ‘리얼뷰’ 온라인 쇼핑 경험 제공” [1]	IT동아	23.02.17	234	0
2386	[농업이 IT(잇)다] 고기365 “날 것 그대로 보여주는 ‘리얼뷰’ 온라인 쇼핑 경험 제공”	IT동아	23.02.17	153	0
2385	[스타트업리뷰] 24시간 인공지능 관리, 보라웨어 검색광고 AI 써 보니	IT동아	23.02.17	3794	1
2384	카뱅과 토스, 소비자 울리는 피싱범죄 어떻게 대응하나?	IT동아	23.02.17	162	0
2383	[스케일업] 이노디테크 [3] “현장 영업은 사람과의 만남으로부터 시작합니다”	IT동아	23.02.17	155	0
2382	디지포레 박성훈 대표, “산업 현장이 원하는 메타버스를 개발합니다”	IT동아	23.02.17	817	1
2381	애니온넷 “IoT에 특화된 SI 기업? 바로 여기에 있다”	IT동아	23.02.16	175	0
2380	[스타트업 리뷰] IT운영전문가 시선에서 본 인포플라의 ‘IT장비 비밀번호 자동변경’	IT동아	23.02.16	139	0
2379	[디지털 취약 극복] 한국접근성평가연구원 “장애인·고령자 위한 키오스크 표준화”	IT동아	23.02.16	908	0
2378	[IT신상공개] HEDT 시장 재편 노린다, 인텔 제온 W-3400·2400 시리즈	IT동아	23.02.16	125	0
2377	이렇게 많아? MSI, 형형색색 차세대 게이밍 노트북 제품군 대거 선보여 [35]	IT동아	23.02.16	6253	5
2376	슈나이더 일렉트릭 코리아, 지속가능성 솔루션에 ‘올인’	IT동아	23.02.15	138	0
2375	우울과 불안 불러오는 스마트폰 중독... 디지털 디톡스 필요해 [28]	IT동아	23.02.15	5809	15
2374	[농업+IT=스마트팜] 3. 스마트팜 구현 솔루션 이해하기	IT동아	23.02.15	121	0
2373	어도비, 2023 디지털 트렌드 발표··· '콘텐츠와 업무 효율화가 핵심'	IT동아	23.02.15	787	0
2372	[스케일업] 레다게임즈 [3] 김도형·송경 버프스튜디오 “줄거리·재미 토대로 BM 다각화”	IT동아	23.02.15	136	0
2371	[리뷰] ‘내돈내산’ 갤럭시 S23 울트라 ‘데이원’ 리뷰 [28]	IT동아	23.02.14	2764	14
2370	공정위, 카카오T 콜 몰아주기 제재...카모 "가맹우대 아닌 소비자우대했다" [7]	IT동아	23.02.14	1530	0
2369	[IT애정남] 화제의 호그와트 레거시, PC 권장 사양 맞춰주세요 [8]	IT동아	23.02.14	1592	2
2368	[뉴스줌인] ‘멀티 클라우드’로 클라우드 시장 영향력 강화 노리는 오라클 [1]	IT동아	23.02.13	185	0
2367	'결말 포함' 드라마·영화 요약 영상에 울상인 콘텐츠 업계 [33]	IT동아	23.02.13	3291	12
2366	[스케일업] 누비랩 [3] 나주시 초등학교 영양 선생님들이 체험한 ‘AI 푸드 스캐너’	IT동아	23.02.13	157	0
2365	[IT신상공개] 중급자용 경량 카메라 시장 노린다, 캐논 EOS R8 · R50	IT동아	23.02.13	3024	6
2364	발뮤다 실적 악화에 ‘발뮤다 폰 후속, 출시 계획 정지’ [18]	IT동아	23.02.13	2368	0
2363	[주간투자동향] 엔젤스윙, 현대차그룹으로부터 전략적 투자 유치	IT동아	23.02.13	155	0
2362	[IT애정남] 램 업그레이드하면 그래픽카드가 자동 변경되는 노트북? 진짜 있나요? [9]	IT동아	23.02.10	2520	9
2361	검색광고 성과 향상 ‘자동화 솔루션’으로 편리하게	IT동아	23.02.10	141	0
2360	워케이션 '뷰맛집', 부산 워케이션 거점센터에서 일해보니...	IT동아	23.02.10	156	1
2359	무인 로봇으로 자동화된 쿠팡 물류센터... 노동자 안전 위해 중요한 건? [19]	IT동아	23.02.10	1516	6
2358	소비자용·서버로 분할된 인텔 그래픽 사업부··· '폐지 우려 딛고 효율화' [1]	IT동아	23.02.10	1103	2
2357	[스케일업] 펫나우 [2] 김경철 코트라 “해외 진출 왕도, 철저한 분석·레퍼런스·파트너 확보”	IT동아	23.02.10	149	0
2356	똘똘한 직원 한 명, 기업들은 HR테크로 구한다	IT동아	23.02.09	169	0
2355	챗GPT로 촉발된 인공지능 경쟁··· 네이버·카카오의 전략과 행보는? [5]	IT동아	23.02.09	988	2
2354	[스케일업] 부지런컴퍼니 [3] “부지런컴퍼니가 추구하는 목적은 무엇입니까?”	IT동아	23.02.09	135	0
2353	게티이미지, 인공지능 사진 생성 도구에 ‘2,268조 원’ 소송 제기 [25]	IT동아	23.02.09	3469	11
뉴스	[포토] 영화 '대가족' 화이팅	디시트렌드	11.21