SK텔레콤 해킹과 KT 무단 소액결제 사고가 연이어 발생하면서 통신 보안의 핵심 정보인 ‘IMEI’와 ‘IMSI’가 주목받고 있다. 이 두 정보가 함께 유출될 경우 휴대폰 복제, 금융사기 등 2차 피해로 이어질 수 있기 때문이다.
IMEI(International Mobile Equipment Identity)는 단말기의 고유 식별번호로, 일종의 휴대폰 ‘주민등록번호’에 해당한다. 반면 IMSI(International Mobile Subscriber Identity)는 가입자 식별번호로, 이동통신사가 고객을 식별하기 위해 유심(USIM)에 저장하는 정보다. 여기에 유심 인증키까지 유출되면 해커는 원본 단말기를 그대로 복제한 ‘복제폰’을 만들 수 있다. 복제폰은 단순한 개인정보 유출을 넘어 금융 거래나 인증 절차까지 가로챌 수 있어 위험성이 크다.
과학기술정보통신부에 따르면, SK텔레콤은 지난 4월 해킹으로 유심 관련 정보가 일부 외부로 유출됐으며, KT 역시 지난달 유사한 보안 침해로 고객 정보가 노출됐다. 다만 두 사건 모두 현재까지 실제 복제폰이 생성된 사례는 확인되지 않았다.
논란의 핵심은 암호화 관리 여부다. SK텔레콤은 유심 인증키를 암호화하지 않은 상태로 관리해 온 것으로 드러나 비판을 받았다. KT는 암호화된 상태로 저장돼 복제 가능성이 낮다고 해명했지만, IMEI와 IMSI, 전화번호 등 핵심 데이터가 빠져나간 만큼 우려는 여전하다.
류제명 과기정통부 2차관은 “KT가 복제에 필요한 조건(IMEI, IMSI, 인증키)이 유출되지 않았다고 보고했으나 민관 합동조사를 통해 세부 경위를 면밀히 점검할 것”이라고 밝혔다.
이번 사태는 통신사가 보유한 고객 단말 정보의 보안 체계가 여전히 취약함을 드러낸다. 전문가들은 “IMEI·IMSI는 생체정보만큼 민감한 데이터”라며 “통신 3사는 인증키 암호화와 접근권한 관리 강화를 즉시 시행해야 한다”고 지적했다.
