통신사 뚫리면 어디까지 무너질까…'휴대폰 인증'에 숨겨진 위험

SMS 인증 의존한 시스템, 한 번 뚫리면 연쇄 피해

해킹 사고가 발생한 SK텔레콤이 28일부터 2천300만명에 달하는 전 고객을 대상 유심 무상 교체를 실시하기로 결정했다. 사진은 25일 서울 한 SKT 대리점에서 한 직원이 사용한 유심 카드를 들어 보이고 있다. 연합뉴스

"핸드폰만 있으면 다 된다"던 말이 부메랑처럼 돌아왔다.

SK텔레콤 유심(USIM) 정보 유출 사고로 인해, 전화번호 하나만 탈취당해도 금융 계좌, 가상자산 지갑, 심지어 개인 신분 자체가 송두리째 무너질 수 있다는 현실이 드러났다.

19일 오후 SK텔레콤은 악성코드 침투로 인해 약 2,300만 명에 달하는 가입자의 유심 관련 정보가 외부로 유출됐다고 발표했다. 유출 항목에는 전화번호, IMSI(국제이동가입자식별번호), IMEI(휴대전화기기식별번호), USIM 인증 키 등 핵심 통신 정보가 포함됐다. 주민등록번호, 생년월일, 금융계좌 정보는 제외됐다고 밝혔지만, 통신과 금융 보안의 기본 열쇠에 해당하는 정보들이 빠져나간 사실만으로도 심각한 불안이 확산되고 있다.

문제는 통신사 기반의 본인 인증 체계가 사실상 단일 실패 지점(Single Point of Failure)으로 작동하고 있다는 점이다. 현재 국내 대부분의 금융기관, 가상자산 거래소, 공공기관 서비스는 사용자의 전화번호를 신뢰 기반으로 삼아 본인 인증을 진행하고 있다. 휴대전화번호만 확인되면 비밀번호 재설정, 계좌 접근, 서비스 로그인 등이 가능해진다.

SIM 스왑 공격은 이 허점을 정조준한다. 공격자는 유출된 정보로 통신사 고객센터에 접근한 뒤, 새로운 유심을 발급받거나 번호 이동을 요청한다. 이렇게 휴대폰 번호를 통제하게 되면, 2단계 인증(2FA)으로 전송되는 문자 메시지를 가로채 금융, 가상자산 계정 등을 차례로 탈취할 수 있다. 피해자가 이상을 감지하는 시점에는 이미 통신망은 끊겼고, 디지털 자산은 외부로 빠져나간 뒤다.

정보보호 전문가는 "전화번호에 의존하는 인증 체계는 태생적으로 취약할 수밖에 없다"고 말했다. 이어 "특히 SMS 기반 인증은 통신사가 뚫리는 순간 전체 시스템이 무너질 수 있는 구조이기 때문에, 별도 인증 수단 도입이 절실하다"고 강조했다.

실제로 2019년 트위터 공동 창업자 잭 도시 역시 SIM 스왑 공격으로 인해 자신의 개인 계정 접근권을 위협당한 바 있다. 당시에도 공격자들은 통신사를 속여 전화번호를 탈취한 뒤, 기존 계정에 대한 인증 절차를 우회하는 데 성공했다.

이번 SK텔레콤 사고를 통해 통신사 보안 시스템이 완벽하지 않다는 사실이 명확히 드러났다. 현재 통신 3사는 불법 유심 교체를 막기 위해 '유심 잠금 서비스' 등을 제공하고 있지만, 기본 가입자가 적고 홍보 역시 미흡한 상황이다. 가입자가 별도로 신청하지 않으면 보호받을 수 없는 구조 자체도 문제로 지적된다.

또한 전화번호를 활용한 본인 인증은 단순히 금융권에만 국한되지 않는다. 소셜미디어, 쇼핑몰, 온라인 플랫폼 다수가 전화번호를 아이디 대체 수단으로 채택하고 있어, 2차 피해 범위가 어디까지 확산될지 가늠하기 어렵다.

사이버 보안 업계 관계자는 "본인 인증 방식을 전화번호에만 의존하는 시스템은 이제 재검토가 필요하다"며 "장기적으로는 OTP, 보안키, 생체 인증 등 다중 인증 체계로의 전환이 필요하다"고 말했다.

현재 SK텔레콤은 사고 수습을 위해 유심 보호 서비스 무상 제공, 피해 가능성 있는 고객 안내 강화, 관계기관 협조 조치 등을 진행하고 있다. 한국인터넷진흥원(KISA)과 개인정보보호위원회도 사고 경위와 추가 유출 여부에 대한 조사에 착수한 상태다.