SK텔레콤에서 고객의 정보가 유출되는 사고가 발생했다. 유출된 정보는 고객 유심(USIM) 관련 정보로 이동가입자식별번호(IMSI), 단말기 고유식별번호(IMEI) 등이 유출된 것으로 추정된다.

이동통신사에서 해킹 피해로 개인정보가 유출된 사고는 2023년 이래 약 2년 3개월만이다.

앞서 LG유플러스에서 2023년 1월 발생한 해킹으로 약 30만건에 달하는 고객 정보가 불법 거래 사이트로 유출되며 충격을 안겼다. 당시 유출된 개인정보는 휴대전화번호와 이름, 주소, 아이디, 유심 정보 등 26개 항목에 달했다.

SK텔레콤은 22일 보도자료를 통해 "19일 오후 11시경 정황이 발견됐으며, 정황 발견 즉시 SKT는 한국인터넷진흥원(KISA)을 포함한 유관기관에 신고하고, 정확한 유출 원인, 규모, 항목 등을 확인하기 위한 조사에 착수했다"고 전했다.

아직까지는 유심 관련 정보가 유출된 피해 고객 수, 정보 유출 범위 등이 확인되지 않고 있는 것이다. 

이번 사고는 사이버공격자가 내부 시스템에 악성코드를 침투시켜 발생한 것으로 추정된다. SK텔레콤은 정보가 유출된 사실을 확인 후 악성코드를 삭제하고 사고 발생 장비와 의심 장비를 격리조치했다고 설명했다.

유심은 일종의 가입자 식별도구로, 유심 정보 유출로 인해 복제폰 생성 등 다양한 공격 우려가 제기된다. 사이버공격자가 확보한 유심 정보를 토대로 동일한 유심칩을 생성한 후 다른 휴대폰에 장착하면, 복제폰을 만들 수 있는 것이다.

이러한 복제폰으로 은행계좌, 가상화폐 계좌 등을 훔치는 심스와핑 공격 피해를  입을 수 있다. 

SK텔레콤은 유출된 유심 정보가 실제로 악용된 의심사례는 발견되지 않고 있다고 밝혔다. 하지만, 심스와핑 공격 등의 피해 예방을 위해 불법 유심 기기 변경, 비정상 인증 시도 차단 시스템을 강화하고, 의심 징후 발생 시 즉각적인 이용 정지와 안내 조치를 취할 방침이다. 

SK텔레콤은 "현재 유심 보호 서비스도 무료 제공한다"고 설명했다. 가입자 유심에 다른 휴대폰을 장착해 임의 사용하는 것을 차단하고 해외 로밍을 제한해 해외에서 음성, 문자, 데이터 서비스를 이용할 수 없도록 함으로써 피해를 예방하도록 하는 서비스다. 단, 유심 보호 서비스 이용을 위해서는 T로밍 바로 요금제 등 자동 로밍 서비스 해지가 필요하다. 

과학기술정보통신부와 한국인터넷진흥원(KISA)은 정보보호네트워크정책관을 단장으로 하는 비상대책반을 구성하고, 사고 원인 분석과 피해 확산 방지를 위한 기술지원에 나섰다. 

과기정통부는 필요시 민관 합동 조사단을 구성해 심층적인 원인 분석과 재발 방지책 마련에 나선다는 방침이다. 통신당국은 2014년부터 2023년까지 민관 합동 조사단을 모두 6차례 꾸린 바 있다.

사고 조사 과정에서 SK텔레콤이 보안 관리에 문제가 있었다고 판명될 경우 시정명령을 내릴 수 있다.

개인정보보호위원회도 고객 개인정보 유출 사고가 발생한 SK텔레콤에 대한 조사에 착수했다.

개인정보위는 구체적인 유출 경위와 피해 규모는 물론 안전조치나 유출 통지·신고 의무 등 개인정보보호법 준수 여부를 조사하고, 위반 사항이 확인될 경우 관련 규정에 따라 처분할 예정이다.

개인정보위는 대규모 개인정보를 처리하는 이동통신 서비스에서 유출 사고가 난 만큼 보이스피싱, 스미싱 등 2차 피해가 발생하지 않도록 주의를 당부했다.