내 유심 정보도 유출됐을까? 정말 안전한가?
핵심요약
- SKT 핵심 서버(HSS) 해킹으로 IMSI와 K값 유출
- IMEI는 유출되지 않아 복제폰 완성은 불가능
- 복제 유심 제작은 가능하며, 유심 보호 서비스 미가입 시 통신 허용 가능성
- 은행 피해는 낮지만 2차 인증 미비 시 위협 가능
- 유심 보호 서비스 활성화가 가장 효과적인 대응
- eSIM 도입 확대 및 인증체계 개편 필요
유심 정보 유출 사건의 전말
2025년 초, SK텔레콤의 핵심 서버인 HSS가 외부 공격을 받아 일부 가입자의 IMSI와 K값이 외부로 유출되었다. IMSI는 ‘가입자 고유 식별 번호’로 통신망에서 사용자를 식별하는데 쓰이며, K값은 가입자 인증을 위한 비밀키다. 이 두 정보는 통신망에 접속하기 위한 핵심 구성 요소다. 즉, 누군가가 이 정보를 손에 넣으면 가짜 유심을 만들어 통신 서비스를 사용할 수 있는 가능성이 생긴다. 그러나 복제폰을 완성하려면 기기 고유번호인 IMEI도 필요하다. 이번 사건에서는 IMEI가 유출되지 않아 직접적인 피해는 발생하지 않았지만, 잠재적 위험은 매우 높았던 사건이었다.
유심이 담고 있는 민감 정보
유심(USIM)은 단순한 인증 수단이 아니다. 이 작은 칩에는 통신사와의 인증 정보는 물론, 사용자의 통신 이력과 연계된 여러 민감한 데이터가 저장된다. IMSI와 K값은 이 중에서도 가장 중요한 핵심 정보다. IMEI는 단말기 자체의 정보이며, 유심과 함께 인증 시 서로의 매칭을 통해 사용자와 기기를 함께 식별한다. 이 때문에 세 가지 정보가 모두 매칭되지 않으면 통신망 접속이 거부된다.
- IMSI와 K가 유출되었고, IMEI는 유출되지 않은 것이 확인되었다.
| 항목 | 설명 |
| IMSI | 가입자 고유 식별 번호 (일종의 ID) |
| K (Key) | 가입자 인증을 위한 비밀키 |
| IMEI | 단말기 고유 번호 (기기에 내장됨) |
| PIN | 유심 자체의 잠금 비밀번호 |
복제 유심 vs 복제폰
복제 유심은 유출된 IMSI와 K값만으로도 가능하다. 이를 다른 단말기에 삽입하면, 통신망에서는 새로운 단말기로 인식하더라도 기존 가입자의 통신 권한을 부여할 수 있다. 그러나 복제폰은 IMEI까지 일치해야 완성된다. 따라서 이번 사건에서는 복제 유심까지만 가능한 상황이었다. 문제는 유심 보호 서비스가 꺼져 있다면, 통신사가 이 변화를 탐지하지 못할 수 있다는 것이다.
- IMSI와 K값만으로는 복제폰 생성이 불가능하며, IMEI가 함께 털렸다면 3요소(유심 + 키 + 단말기)가 완성되어 위험했을 가능성이 있었다.
| 정보 종류 | 유출 여부 | 용도 |
| IMSI | 유출됨 | 가입자 식별 |
| K값 | 유출됨 | 인증키 |
| IMEI | 유출되지 않음 | 단말기 식별 |
| 개인 정보 (주민번호, 주소 등) | 조사 중 | 식별 정보 |
피해는 없었을까?
금융 피해까지 이르기는 다소 어려운 측면이 있다. 국내 은행 서비스는 인증서 기반 보안, 2단계 인증, 단말기 고유 인증 등 복합적인 보호 장치를 갖추고 있기 때문이다. 복제 유심만으로는 은행 앱에 접속조차 어렵고, OTP나 공인인증서, 기기 인증서 등도 필요하다. 하지만 일부 소셜미디어, 메신저, 문자 인증 기반의 서비스들은 위협받을 수 있다.
유심 보호 서비스 필요성
유심 보호 서비스는 사용자의 유심이 기존 단말기와 다를 경우 이를 즉시 탐지하고 차단하는 기능을 제공한다. 이 서비스가 활성화돼 있다면, 복제 유심이 다른 폰에 삽입되었을 때 통신망 접근이 차단되므로, 복제폰 시도 자체가 무력화된다. 현재 이 서비스는 무료로 자동 가입되고 있으며, 통신사 앱에서 쉽게 확인하거나 설정할 수 있다.
| 항목 | 설명 |
| 유심 보호 미가입 | 복제 유심 꽂으면 통신 가능 |
| 유심 보호 가입 | 유심-단말 매칭 어긋나면 차단 |
어떤 대응이 최선일까?
현실적으로 모든 사용자가 즉시 유심을 교체하기는 어렵다. 유심 교체는 대리점 방문이 필요하고 비용도 발생한다. 반면, 유심 보호 서비스는 간단한 설정만으로도 실질적인 방어 효과를 준다. 이상적인 대응은 유심 보호 서비스 즉시 활성화, 그리고 시간이 허락되는 시점에 유심 혹은 eSIM으로의 교체다. eSIM은 물리적 유심이 아닌 디지털 방식으로 훨씬 더 높은 보안성을 제공한다.
전문가들은 어떻게 바라보고 있을까?
이번 사건은 통신망 인증 체계의 근본적 허점을 드러냈다. HSS 서버는 국가 기반 통신망의 핵심인데, 이 서버에 대한 보안 감시 체계는 실시간 악성 코드 탐지조차 없었던 것으로 알려졌다. 향후엔 서버 수준의 다중 인증과 정보 암호화 저장이 필수이지 않을까 싶다. 아울러, 사용자들에게 유심 보안 관리에 대한 지침과 매뉴얼을 제공하고, eSIM 전환을 적극 유도하는 정책도 필요하다.
우리가 할 수 있는 것은?
- 통신사 앱에서 유심 보호 서비스 가입 여부 확인
- 유심 보호 미가입 시 즉시 가입 또는 설정 변경
- 기존 유심 상태 점검 및 필요 시 교체 예약
- 스마트폰이 eSIM을 지원하는지 확인
- 은행·금융 앱 보안설정 점검(인증서, OTP 등)
- 문자 인증 기반 서비스에서 2차 인증 추가 설정
이번 사건은 디지털 보안 환경에서 우리가 얼마나 허술하게 개인정보를 관리하고 있었는지를 일깨워 준다. 문자 인증 기반 시스템은 더 이상 안전하지 않으며, 인증 방식은 생체 인증이나 앱 기반 인증으로 전환되어야 한다. 지금 필요한 건 공포가 아닌 실행이다. 보안을 위한 작은 행동 하나가 나의 정보 자산을 지키는 가장 확실한 방법일 것이다.