최근 SKT의 유심정보가 숨겨져 있던 악성 코드의 공격으로 일부 유출되었다고 발표하면서 스마트폰 사용자들의 불안감이 커지고 있습니다 SKT는 가입자 전원에게 유심칩을 무료로 교체해 준다고 하며 또한 유심서비스 가입도 무료로 지원해주고있습니다 일반 사용자들에게 유심칩은 그냥 스마트폰 교체할 때 기기와 함께 바꿔주는 정도의 조그만 플라스틱 조각으로만 생각되고있었는데 이 번 사건을 통해서 유심칩도 개인정보 보안의 대상임을 새롭게 인식시켜 주는사건이었던것같습니다
1. 유심카드란 무엇일까
유심카드는 (USIM)는 Universal Subscriber Identity Module의 약자이며 '범용 가입자 식별 모듈'을 뜻합니다
외국에서는 SIM 카드라고 불리는데 우리나라에서는 유심카드라고 주로 부르며 사용자와 통신사 사이에서 내가 누구인지를 확인시키는 신분증 역할을 한다고 할 수 있습니다
이 손톱크기의 플라스틱 유심카드 안에는 아주 작은 컴퓨터의 기능이 들어있는데 사용자의 정보뿐 아니라 CPU, 메모리, 보안 장치가 들어있습니다
●유심칩에서의 CPU의 기능은 가입자의 정보로 통신망에 접속하려 할 때 CPU가 데이터를 읽고 통신망에 이 스마트폰이 누구인지를 알려주는 역할을 합니다
●메모리가 내장되어 있는 이유는 사용자의 전화번호, 통신사 정보, 비밀번호등을 기억하는데 필요합니다
●보안 장치는 유심을 복사하거나 도용하지 못하도록 방지하는 역할을 합니다
유심칩은 스마트폰에 꽂을 때 작동되는데 먼저 통신사에게 이 기기의 번호가 010-0000-0000 임을 알립니다 그러면 통신사는 유심 안의 정보와 시스템을 확인합니다 그리고 통신사에서의 인증이 끝나면 전화, 문자, 인터넷등을 사용할 수 있게 됩니다 한 마디로 유심칩이 없이는 스마트폰과 통신사 간의 연결이 안 되므로 스마트폰의 Key라고 할 수 있습니다
2 유심카드가 통신사에 우리를 인식시키는 방법
유심카드 안에는 두 가지의 중요한 정보가 들어있습니다
1. IMSI: 나의 전화번호와 가입자 번호 같은 신분증 정보가 들어있습니다
2. Ki: 통신사만 알고 있는 아주 복잡한 비밀 암호키입니다
이 두 가지의 정보로 인증이 진행되는데 인증하는 과정은 비밀 암호 문제를 풀어서 확인하는 게임과 같습니다
1. 통신사에서 유심에게 무작위의 숫자를 보냅니다
2. 유심카드는 전송된 숫자와 자신만 알고있는 Ki를 이용해서 암호계산을 합니다
3. 계산된 결과 값을 다시 통신사에게 보냅니다
4. 통신사도 자기 저장소에 있는 Ki로 같은 계산을 하고 계산한 값이 똑같으면 인증에 성공하는 것입니다
3 통신사의 인증이 안될 때, 어떤 단계에서 문제가 생기는가
1단계: 스마트폰이 전원을 켜고 유심을 인식할 때 유심카드의 불량이나 접촉불량, 또는 스마트폰 자체의 문제로 인증이 안될 수 있습니다
2단계: 유심이 통신사에 자기를 인식시킬 때 신호가 약하거나, 잘못된 IMSI가 전송됐거나, 기지국이 유심의 IMSI를 받아 통신사 인증 서버로 전달할 때 연결의 문제가 생겼을 때 인증이 안될수있습니다
3단계: 인증센터에서 유심의 Ki를 사용해 계산할 문제(RAND)를 보낼 때 서버에서 RAND생성에 실패했거나 인증서버에 장애가 생겼을 경우 인증이 안될수있습니다
4단계:유심이 암호를 계산해서 계산한 값(SRES)을 통신사에 보낼 때 암호계산에 실패했을 경우
5단계:유심의 SRES값과 서버의 계산값이 같으면 인증이 완료되는데 서버의 Ki정보가 손상되었거나 인증 결과를 처리하는데 실패했을 경우가 있습니다
1단계에서 문제가 생겼을 경우에는 사용자의 스마트폰에 '서비스 없음', '유심이 인식되지 않음'이라는 문구가 뜹니다
2~3단계의 문제가 생겼을 경우: "인증 중", "오래 걸림", "네트워크에 등록 실패"의 문구가 뜹니다 4~5단계에서 문제가 생겼을 경우: "유심 재인식 필요", 긴급 통화만 가능"의
4 유심칩 해킹과 금전탈취의 과정
1 개인의 이름, 생년월일, 전화번호, 주민번호, 인증번호 등 개인정보를 먼저 해커가 수집합니다
2 해커가 통신사 고객센터에 전화를 걸어 휴대폰을 잃어버렸다며 '유심 재발급'을 요청하거나 위조된 신분증으로 유심 재발급을 신청하기도 합니다
3 피해자의 정보로 본인인증을 합니다
4 유심이 해커의 폰에 재발급되고 피해자의 번호가 개통되면 해당 번호로 오는 모든 문자/전화, 인증번호를 해커가 받게 됩니다 이때 해커가 비밀번호 등을 재설정할 수 있습니다
5 해커는 이 번호로 인터넷뱅킹, 이메일, SNS계정 등에 접근하여 금전등을 탈취합니다
개인 정보 유출의 예방 방법
●통신사에 유심 재발급 제한 요청을 합니다(고객센터를 통해 가능)
●2단계 인증 시 전화번호 대신 인증 앱을 사용합니다
●비밀번호는 될 수 있으면 복잡하게 구성하고 서비스마다 다르게 설정합니다
●보안 질문은 추측하기 어렵게 설정합니다
●자신의 개인정보가 유출되었는지 확인합니다
확인해 주는 웹사이트 중 하나가 http://haveibeenpwned.com입니다
Have I Been Pwned는 수많은 해킹 사건에서 유출된 이메일 주소, 사용자 계정, 비밀번호 정보를 수집한 데이터베이스인데 이메일 주소를 입력하면 유출의 유무를 알려줍니다
●주기적으로 소프트웨어를 업데이트하고 출처가 불분명한 링크는 클릭하지 않는 게 안전합니다
●공용 와이파이 사용 시 VAN은 사용하지 않는 것이 좋습니다
5 SKT 가입자들의 대처 방법 가이드
●유심 무료 교체
SK는 가입자들에게 전국의 SK대리점에서 무료로 유심을 교체해 준다고 합니다 그런데 유심교체를 원하는 가입자들이 몰려서 온라인으로 미리 예약하고 대리점을 방문해야 한다고 합니다
●유심보호 서비스 가입
유심보호 서비스는 무료이며 가입하면 유심이 다른 기기에 삽입될 때 통화 및 데이터의 사용이 자동으로 차단됩니다
유심 교체 전 준비 사항
●일부 연락처가 유심에 저장되어 있을 수 있으므로 기기로 백업을 합니다
●선불 교통카드의 잔액은 유심을 교체할 시 초기화되므로 교체 전에 환불을 요청합니다
●카카오톡의 대화 내용은 유심 교체와 무관하지만 백업을 하여 데이터를 보호하는 것이 안전합니다