'유심(USIM)과 이심(eSIM) 교체는 효과 있음. 휴대전화 기기 교체는 효과 없음'

개인정보보호위원회는 2일 SK텔레콤의 메인 서버 해킹으로 인한 개인정보 유출 사고와 관련해 '유심 구성 및 유심 복제 방지대책'을 내놓았다.

유출된 개인정보로 인한 2차 피해 예방법은 ▲유심이나 이심 교체 ▲통신 업체와 폰 전화번호 교체 ▲유심 보호 서비스 가입(해외로밍 안 됨) 등이다. 다만 휴대전화 기기(단말기)만 교체해서는 가입자의 기존 데이터가 남아 있어 예방책이 될 수 없다.

피해 예방책을 Q & A로 간추린다.

유심 정보로 가입자를 인증하는 방식. 개인정보보호위

- 유심과 이심을 교체해야 하는 이유는?

→ 유심은 휴대전화 기기에 삽입돼 기기 개통이나 네트워크(연결)를 인증하는데 쓰이는 심이다. 통신업체에 휴대전화 서비스 첫 가입 때, 번호이동(번호를 유지한 채 사용 중인 통신 업체에서 다른 통신업체로 변경하는 것) 때 공짜로 우편 등으로 보내줘 익히 알려져 있는 용어다.

일반인에게 다소 생소한 이심은 유심과 같은 역할을 하다. 휴대전화 기기(단말기)에 내장된 칩에 통신 업체가 저장한 가입자 정보를 내려받는 형태의 심이다.

두 개 모두 '가입자 식별' 역할을 하지만, 유심이 물리적으로 교체하는 하드웨어이고 이심은 다운로드 방식의 소프트웨어다.

가입자(이용자)가 유심을 교체하면 해커 등이 유심을 복제해 다른 휴대전화 기기에 꽂아도 쓸 수 없는 무용지물이 된다.

유심을 바꾸면 가입자 식별번호(IMSI)와 인증키(K)가 재발급돼 해커가 탈취한 정보와 달라져 기존 내장 정보는 더 이상 유효하지 않기 때문이다.

이심 교체도 이같이 유심 정보를 도용해 복제한 뒤에 금전적 피해를 주는 '심 스와핑(SIM wapping)'을 방지할 수 있다. 심 스와핑이란 피해자 휴대전화의 유심 정보를 복제해 개인정보. 은행·가상화폐 계좌를 손에 넣어 금융자산을 훔치는 신종해킹 수법이다.

- '유심 보호 서비스'가 유심과 같은 피해 예방 효과가 있다는데.

→ 유심 보호 서비스는 '단말기 식별번호(IMEI)'와 '유심 정보'를 묶어서 관리한다.

이 서비스에 가입해 놓으면 해커가 복제한 유심을 다른 휴대전화 기기에 삽입해도 그 기기는 작동이 안 된다.

SK텔레콤 유영상 대표가 '유심 교체를 하지 않고 유심 보호 서비스만 가입해 사용 중'이라며 서비스 가입을 호소한 것은 이 때문이다.

다만 해외로밍은 안 돼 해외 여행객은 반드시 유심을 교체해야 한다. 따라서 유 대표는 유심 부족 사태가 해결될 때까지 해외 방문을 하지 않거나 해외에 나가게 된다면 유심을 바꾼 다른 휴대전화를 사용해야 한다.

- 통신 업체와 폰 번호 교체하면?

→ 유심 교체처럼 가장 안전하다. SK텔레콤에서 KT나 LG유플러스로 번호이동을 하는 것으로, 통신 업체가 바뀌었기 때문에 이번 해킹 피해와 상관 없어진다.

통신 업체를 바꾸면 SK텔레콤의 홈가입자서버(HSS)에 누적됐던 가입자(이용자)의 정보가 삭제돼 해커가 복제한 유심을 통해 이용자를 식별하지 못 한다.

또 전화번호를 바꾸면 HSS 내 가입자 식별번호가 변경돼 해커가 탈취한 가입자 식별번호와 일치하지 않아 이용자 식별을 할 수 없다.

경남 창원시 가음정시장 인근 SK텔레콤 대리점의 간판. 독자 정재송 씨 제공

- SK텔레콤 해킹 사태 직후 휴대전화 기기(단말기)를 교체했다. 폰이 바뀌었으니 유심을 교체하지 않아도 되지 않은가?

- 단말기만을 바꾸는 것은 아무 소용 없다.

기기를 교체해도 SK텔레콤 홈가입자서비(HSS) 안에 있는 가입자 정보는 그대로 유지돼 해커가 복제한 유심을 인증하려는 행위를 차단하지 못한다.

■ 요약