구독상품안내
휴대전화 속 유심(USIM·Universal Subscriber Identity Module, 범용 가입자 식별 모듈) 칩.
이 작은 플라스틱이 있어서 전화는 물론 인터넷뱅킹부터 각종 공공서비스까지 자유롭게 이용할 수 있다. 유심은 디지털 세상에서 내가 내 개인정보에 접근할 수 있는 열쇠 같은 존재다. 말하자면 내가 바로 ‘나’임을 증명해주는 디지털 신분증이나 얼굴이라고도 할 수 있다. 그런데 이 디지털 열쇠가 한꺼번에 털렸다. SK텔레콤의 서버가 약 3년에 걸쳐 해킹당한 끝에 2695만 건 이상의 유심 정보가 외부로 유출됐다는 사실이 지난 4월 밝혀졌다.
너무 작은 신분증, 유심
스마트폰에서 유심 칩을 빼면 어떤 일이 벌어질까? 사실상 ‘오프라인 기기’로 전락한다. 와이파이에 접속하면 인터넷 검색 정도는 가능하지만, 전화도 문자도 그외 본인인증이 필요한 모든 앱 로그인을 할 수 없다. 이 얇고 작은 칩이 ‘통신망 열쇠’인 셈이다.
유심의 시작은 1991년 2세대 GSM 이동통신 기술이 상용화되며 등장한 SIM 카드다. 이때의 SIM은 통신망 접속을 위한 인증 수단이자 전화번호부 저장 장치에 불과해서 저장 용량도 매우 작았다. 보안성과 기능이 대폭 강화된, 현재와 유사한 유심은 2000년대 초, 3G(WCDMA) 시대와 함께 등장했다.
그렇다면 유심은 어떻게 각자의 디지털 신분증 역할을 하는 걸까? 휴대전화 기기 자체엔 IMEI(국제이동통신 장비식별번호)란 고유번호가 있지만, 이 정보만으론 통신망에 접속할 수 없다. 진짜 인증 열쇠는 유심에 탑재된 두 가지 고유 번호, IMSI(국제이동통신 가입자식별번호)와 Ki(인증 키)다. IMSI는 지구상에 유일한 가입자 번호다. Ki는 유심과 통신사 서버, 단 두 곳에만 보관돼야 하는 비밀번호로, 결코 외부에 노출되면 안 된다.
통신망에 접속할 때 ‘접속하려는 사람이 본인이 맞는지’ 인증하려면 통신망은 유심에 저장된 IMSI로 가입자를 식별하고, 대응하는 Ki를 통신사 서버에서 호출해 난수(RAND)를 바탕으로 암호 연산을 해야 한다.
Ki와 난수를 조합하는 이 암호 연산 과정은 유심과 통신사 서버에서 각각 수행된다. 이 두 연산의 결과값이 일치해야 사용자가 본인으로 인증된다. 이 방식은 인증 구조 자체는 안전한 반면, IMSI가 암호화되지 않은 상태로 통신망에 송신되는 초기 접속 단계에서는 감청이나 위조 기지국 같은 공격에 노출될 가능성이 있다.
유심의 역할은 통신망 접속을 위한 사용자 인증만이 아니다. 통신사와 계약한 요금제, 서비스 접근 권한, 문자 메시지 저장, 통화 이력, OTP(일회용 비밀번호) 설정이 모두 유심에 담긴다. 일부 유심은 교통카드, 사원증, 심지어 결제 기능까지 포함한다. 통신기기의 부품이자 디지털 세계에서 ‘나’를 증명하는 신분증, 지갑인 셈이다.
네트워크 경비원으로 변장한 악성코드
SK텔레콤은 이번 유심 해킹 사건에 대해 “일부 유심의 발급 정보가 유출됐고, 이 유출된 유심 정보에 IMSI와 Ki 값 등이 포함됐다”며, “통신망 자체는 침해되지 않았으며, 피해자들의 금융 정보나 전체 개인 정보가 유출된 것은 아니다”라고 설명했다.
SK측은 유심 재발급 비용 면제, 복제 유심 접속 차단, 경찰 수사 협조 등 사후 조치에 나섰지만, 유심 재고 부족과 재발급 안내의 혼선 등으로 일부 고객들은 여전히 불편을 겪고 있다. 특히 유출 정보의 명확한 범위나 복제 유심의 실제 사용 여부, 피해 내용에 대한 설명 등은 2025년 6월 현재까지 아직 충분하지 않다.
SK텔레콤의 핵심 인프라인 홈 가입자 서버(HSS)에선 리눅스 기반의 BPFDoor 계열 백도어(backdoor·일반적인 인증 및 암호화 시스템을 우회해 원격 접속으로 악성코드를 실행하는 방식) 악성코드가 발견됐다. 이 악성코드는 BPF 기능을 악용한다.
이 악성코드는 커널에 침투해서 BPF 기능으로 트래픽을 감시하고 방화벽을 우회해 외부 명령을 수신하면서, 수년간 발각되지 않은 것으로 알려졌다. 수사 당국은 이번 해킹이 국가 단위의 조직적 사이버 공격일 가능성도 배제하지 않고 있으며, 중국계 APT(지능형 지속 위협) 조직의 연루 가능성도 거론된다.
유심 범죄의 원형, 심클로닝
검은 산업으로 성장 중인 유심 범죄
이번 사건이 매우 심각한 것은 고도의 인증 정보인 IMSI, Ki 등이 외부에 유출됐기 때문이다. 원칙적으로 외부 반출이 절대 금지된 통신망의 핵심 키가 탈취됐다는 사실은 한국 통신 인프라의 근본적 취약점을 드러낸다.
IMSI와 Ki 정보는 통신망 접속의 ‘열쇠’ 그 자체다. 이 두 값이 함께 유출되면 해커는 이 정보로 유심을 복제하는 심 클로닝(SIM cloning) 수법으로 실제 사용자인 척 통신망에 접속할 수 있다. 또 다른 유심 해킹 방식인 심스와핑(SIM swapping)은 통신사를 속여 아예 유심을 새로 발급받는 수법이다. 방식은 다르지만, 두 수법 모두 피해자의 인증 정보를 탈취해 온라인 계정이나 금융 서비스에 침입하는 범죄로 이어진다.
이처럼 내 유심이 나도 모르게 복제돼 악의적인 누군가의 손에 들어가면 어떻게 될까? 복제 유심이 작동하면 통신망은 이것을 정당한 유심의 정상 접속으로 인증한다. 전화, 문자, 인증 문자 수신까지 모든 정보가 고스란히 범죄자에게 넘어간다. 피해자는 휴대전화가 정지되고, 필요한 인증 문자가 오지 않는 상황에 처한 뒤에야, 자신의 디지털 신분증이 도용됐다는 사실을 알게 된다.
이런 사건은 단지 ‘가능성’에 그치지 않는다. 미국 연방거래위원회(FTC)에 따르면 2021년에 접수된 심스와핑 피해 신고가 2700건 이상이며, 피해 규모는 수백억 원에 달했다. 심클로닝 피해는 심스와핑보다 공식 집계가 적지만, 이미 인도·유럽 등지에서 수십~수백 건의 금융사기 사례가 보도됐다. 2023년 사이버 보안 업체 노VPN이 발표한 다크웹 시장 분석 보고서에 따르면, 이미 다크웹에서 Ki와 IMSI 정보가 ‘패키지’로 거래되고 있으며, 복제 유심 제작 대행업체까지 성업 중이다. 유심 복제에서 인증 가로채기, 금융범죄에 이르는 검은 산업이 음지에서 암암리에 확산되고 있다.
유심의 대안으로 부상하는 분산신원인증
인증 패러다임의 대전환, ‘탈(脫) 유심’
SK텔레콤 유심 해킹 사태는 현재의 디지털 인증 구조가 과연 얼마나 안전했는지 우리에게 되묻는다. 유심 보안이 통신사 중심으로 이뤄지는 중앙집중형 구조의 결정적 약점이 이번 사태의 원인이기 때문이다. 이 구조에선 통신사 시스템이 해킹당하면, 다수 이용자의 디지털 신원이 동시에 위험해진다. 통신사 시스템이 단일 실패 지점(SPoF·Single Point of Failure)처럼 작동하는 셈이다.
여기에 더해 유심 자체의 보안상 약점에 대한 의문도 이어지고 있다. 2023년 국제광전자학회(SPIE)에선 유심이 명령어를 처리하는 기능인 애플리케이션 툴킷(USAT)에서 입력 검증의 오류가 발생하는 경우가 있으며, 이 취약점이 악성 명령 삽입이나 원격 조작에 악용될 수 있다고 지적됐다. doi: 10.1117/12.2657084 이런 연구는 ‘유심은 하드웨어 기반이므로 안전하다’는 인식에 균열을 내는 사례다.
이런 배경에서 분산신원인증(DID·Decentralized Identifier)에 대한 관심도 높아지고 있다. 아직 실험적 단계인 DID는 인증 정보를 중앙 서버가 아닌 사용자가 직접 관리하는 방식으로, 블록체인이나 클라우드 기반의 에지 컴퓨팅 기술을 활용해, 해킹 위험을 낮추고 보안 수준은 높일 수 있다. 한국의 소프트웨어정책연구소(SPRI)도 2022년 발표한 블록체인 기반의 DID에 관한 보고서에서 유심과 같은 기존의 중앙 집중형 인증 체계의 한계와, 그 대안으로서 사용자가 자신의 인증 정보를 직접 관리하는 DID를 강조했다.
이미 상용화된 이심(eSIM)도 물리적 유심의 대안이다. 별도의 하드웨어 없이 기기에 내장되는 이심은 복제, 분실 위험이 적고 통신사 변경이 용이하며 보안성도 높일 수 있다. 미국, 일본 등에선 이미 2020년 전후로 이심 보급을 계속 확대 중이다. 한국에선 통신사들이 유심 수익 감소와 가입자 이탈을 우려해 이심 도입에 소극적인 편이어서, 정책적 지원이 필요하다는 목소리도 나온다.
아이심(Integrated SIM)과 클라우드심도 기존 유심의 대안으로 주목받고 있다. 아이심은 유심 기능을 칩셋에 통합해 하드웨어 일체성을 높이고, 클라우드심은 인증 정보를 네트워크에 저장해 기기 간의 활용도를 높인 점이 특징이다.
이처럼 기술은 이미 물리 유심을 넘어섰다. 이심, 아이심, 클라우드심, 그리고 DID까지 인증은 더 작고, 더 분산되고, 더 유연하게 진화 중이다. 최근 글로벌 통신 시장은 보안성과 효율성 모두에서 기존 유심을 넘어서는 방향으로 점차 나아가고 있다.
한국도 이번 SKT 유심 해킹 사태와 같은 보안 위협이 반복되지 않도록 개별 사용자가 자신의 인증 정보를 직접 관리하지 못하는 구조를 바꿀 필요가 있다. 새로운 인증 기술을 뒷받침할 제도적 기반과 사회적 논의가 시급한 이유다. 우리는 지금 ‘통제받는 인증’에서 ‘신뢰하는 인증’으로의 기로에 서 있다.
