
개인정보보호위원회가 SK텔레콤의 유심 해킹 사고로 인한 개인정보 유출 우려와 관련해 2차 피해를 막기 위한 조치로 유심(USIM)이나 이심(eSIM)의 교체를 권고했다. 유심 보호 서비스 가입이나 통신사·전화번호 변경도 효과적인 대응책으로 제시된 반면 단말기 교체는 효과가 없는 것으로 나타났다.
개인정보보호위원회는 2일 SK텔레콤 개인정보 유출 사태와 관련해 발표한 '유심 구성 및 복제 방지대책'에서 "개인정보를 도용한 심 스와핑 등의 피해를 방지하려면 유심 또는 이심을 교체하는 것이 핵심"이라고 밝혔다.
유심은 휴대전화에 삽입돼 기기 개통이나 네트워크를 인증하는 데 쓰이는 심을 일컫는다. 이심은 유심과 동일한 역할을 하는데, 단말기에 내장된 칩에 통신사 정보를 내려 받는 형태의 심을 의미한다.
두 심 모두 가입자를 식별하는 역할을 하는데, 유심이 물리적으로 교체하는 하드웨어라면 이심은 다운로드 방식의 소프트웨어라는 차이가 있다. 개인정보위 관계자는 "유심을 교체하면 가입자 식별번호(IMSI)와 인증키(K)가 재발급돼 해커가 탈취한 정보는 더 이상 쓸 수 없다"고 설명했다. 이심도 마찬가지 원리로 기존 유심 정보를 복제해 사용하려는 시도를 방지할 수 있다.
단말기 식별번호(IMEI)와 유심 정보를 묶어서 관리하는 '유심 보호 서비스' 가입도 2차 피해를 막을 수 있다. 개인정보위는 "해당 서비스에 가입해 놓으면 (해커가 복제한 유심을) 다른 휴대전화에 삽입했더라도 해당 휴대전화는 작동이 안 된다"고 설명했다.
KT나 LG유플러스 등 다른 통신사로 갈아타거나 휴대전화 번호를 변경하는 것도 개인정보 유출 피해를 차단하는 효과적인 방법이다. 통신사를 바꾸면 그동안 SKT의 홈가입자서버(HSS)에 누적된 정보가 삭제되기 때문에 해커가 복제한 유심을 통해 이용자를 식별하기 어렵다.
전화번호를 변경하는 것도 HSS 내 가입자 식별번호가 변경돼 해커가 탈취한 가입자 식별번호와 일치하지 않게 되면서 가입자 식별을 할 수 없게 한다.
다만, 휴대전화 기기를 바꾸는 것은 소용이 없다. 개인정보위는 "기기 교체 시 HSS 내 정보는 그대로 유지돼 복제 유심 인증을 차단하는 데 실효성이 없다"고 강조했다.