인천 중구 인천국제공항 1터미널 SK텔레콤 로밍센터 앞에서 한 여행객이 번화가 토토사이트을 교체를 하고 있다. 사진=임형택 토토사이트 추천신문 기자
인천 중구 인천국제공항 1터미널 SK텔레콤 로밍센터 앞에서 한 여행객이 번화가 토토사이트을 교체를 하고 있다. 사진=임형택 토토사이트 추천신문 기자
SK텔레콤이 "고유식별번호(IMEI) 정보가 유출됐다 해도 불법 단말 복제는 사실상 불가능하다"면서 진화에 나섰다. 하지만 일각에선 불법 단말 복제보다 유심 정보를 이용한 '불법 단말' 제작 가능성이 커진 게 문제라는 우려가 나온다. IMEI 정보가 유출되면 유심보호서비스만으로는 유심 불법 복제를 막을 수 없어 세밀한 대응책을 만들어야 한다는 지적이다.

22일 회사 측에 따르면 단말기 IMEI 정보만으로 단말을 복제하는 건 구조적으로 어렵다. IMEI와 함께 단말기 제조사에서 관리하는 다른 인증키 등을 추가 확보해야 복제 가능하다는 설명. 임봉호 SK텔레콤 MNO 사업부장은 일일브리핑에서 "(휴대폰) 제조사에서 따로 단말 인증 키를 관리한다. 제조사로부터 단말 불법 복제가 어렵다는 점을 자문받았다"고 말했다.

IMEI마다 있는 고유 서명을 제조사가 갖고 있어 단말 복제가 어렵다는 것인데, 업계 관계자는 "현재 유출 가능성이 있는 정보만으로는 어떤 애플리케이션(앱)을 설치했는지 등의 데이터를 알 순 없어 복제폰을 만들 수 없는 건 당연하다"면서도 "이번 IMEI 유출 가능성의 핵심은 복제폰 생성 여부보다 유심 복제 가능성이 높아져 본인 인증이 취약해진 점 아니냐"라고 짚었다.

IMEI 정보 유출로 불법 단말이 만들어질 가능성이 높아진 데에 초점을 맞춰야 한다는 얘기다. IMEI는 휴대폰이 도난당했을 때 활용되는 고유식별번호로 사람의 주민등록번호와 비슷하다. 불법 단말은 이 IMEI와 가입자 식별키(IMSI), 인증키 3가지 정보가 있으면 복제할 수 있다.

박춘식 서울여대 정보보호학과 교수는 "이미 민관합동조사단이 1차 조사에서 확인한 유출된 유심 정보만으로도 유심은 복제할 수 있었다"며 "IMEI가 유출되면 유심 복제 가능성이 더 높아진 셈"이라고 말했다.

IMEI 유출로 유심보호서비스가 무력화되는 것도 문제다. 유심보호서비스는 IMEI가 유출됐다는 가정 하에 만들어진 서비스가 아니기 때문이다. 김승주 고려대 정보보호대학원 교수는 "유심보호서비스가 무력화된다면 중요한 건 비정상인증차단시스템(FDS)의 역할"이라며 "통신망에 접근 자체를 못하게 해 범죄를 차단해야 한다"고 말했다.

반면 SK텔레콤은 "IMEI가 유출되지 않았다"는 입장을 견지하고 있다. 민관합동조사단은 2차 조사에서 방화벽 로그기록이 남아있는 지난해 12월3일부터 올해 지난달 24일까지는 자료 유출이 없었던 것을 확인한 바 있다. 로그 기록이 없는 2022년 6월15일 이후 기록에 대해서는 SK텔레콤은 고객 불만 신고, 수사 기관 기록 등을 통해 IMEI가 유출된 적이 없다고 설명했다.

이에 대해 김 교수는 "로그 기록이 없기 때문에 고객 불만 신고나 수사 기관 기록으로 불법적으로 유심 복제가 일어났는지를 간접적으로 확인하는 것"이라며 "차선책이지만 지금 SK텔레콤이 할 수 있는 최선"이라고 말했다.

SK텔레콤은 기존 FDS 기능을 고도화한 업그레이드 솔루션을 통신망에 추가 적용했다. 유심의 다양한 고유 특성 정보와 단말정보를 복합 매칭해 검토하는 '다중인증 방식'이다. SK텔레콤은 "FDS를 불법 유심 복제는 물론 불법 복제폰에 의한 피해도 예방할 수 있도록 고도화한 것"이라며 "유심과 IMEI 같은 단말 정보 탈취시 피해까지 폭넓게 예방할 수 있다"고 강조했다.

박수빈 토토사이트 추천 기자 waterbean@hankyung.com