[IT백과] ”SKT 유출, 최악은 면했다는데”...IMEI와 IMSI 차이 뭐길래?

실시간
뉴스

통신*방송

[IT백과] ”SKT 유출, 최악은 면했다는데”...IMEI와 IMSI 차이 뭐길래?

디지털데일리 발행일 2025-05-01 13:08:16

오병훈 기자

URL복사

정보기술(IT) 영역에 관한 모든 지식을 압축해 풀이합니다. IT산업에 꼭 필요한 용어들을 소개하고, 살펴보면 좋을 쟁점들도 정리합니다. IT가 처음인 입문자라면 혹은 동향을 알고 싶은 전문가라면, 디지털데일리의 'IT백과'를 참고하세요. <편집자주>

유영상 SK텔레콤 대표가 지난달 25일 기자회견장에서 최근 발생한 대규모 유심데이터 유출 사태와 관련해 고개를 숙이며 사과하고 있다.

[디지털데일리 오병훈기자] 대한민국이 SK텔레콤 유심칩 데이터 유출 사태에 따른 2차 피해 우려로 몸살을 앓고 있다. 이용자들은 유심칩 데이터가 유출되면서 이른바 ‘불법 복제폰’을 통한 온라인 금융 탈취 등 2차 피해를 우려를 표하고 있는 상황이다.

다만, 정부가 사태 수습을 위해 출범시킨 민관합동조사단의 1차 조사결과에 따르면, 이번 침해사고를 통해 ‘단말기고유식별번호(IMEI)’ 유출은 없는 것으로 확인했다. 이는 복제폰을 만들어 온라인 계좌 등에 침투하거나 비정상적인 인증을 시도하는 ‘심스와핑’ 범죄 피해 우려는 한시름 놓을 수 있게 됐다는 것을 의미한다.

가입자 전화번호, 가입자식별키(IMSI) 등 USIM 복제에 활용될 수 있는 4종과 유심 정보 처리 등에 필요한 SKT 관리용 정보 21종은 유출됐기 때문에 완전히 안심할 수는 없지만, 가장 우려되던 불법 복제폰 범죄에 필요한 IMEI 유출을 막음으로써 최악의 사태를 면했다는 것이 핵심이다.

먼저 IMSI는 단말기 ‘사용자’를 식별할 수 있는 고유의 키를 의미한다. 총 15자리 숫자로 구성된 이 번호는 가입자의 국가 및 이동통신사업자를 구분하는 코드와 가입자를 식별하는 코드로 구성돼 있다. 즉, 이 단말기를 들고 있는 사람에 대한 구분이 가능한 데이터를 의미한다. IMSI는 이번 SK텔레콤 데이터 유출 사태에서 공격 대상지로 꼽힌 ‘홈가입자서버(HSS)’에 보관된다.

IMEI는 사용자가 들고 있는 ‘단말기’를 구분하는 키를 말한다. 기기제조사와 모델, 고유 일련번호, 알고리즘 기반 검증 숫자 등이 IMEI 키를 구성한다. 단말기 내부에 저장돼 이동통신사 단말기인증시스템(EIR)과 작용해 해당 단말기의 고유성을 입증하는 것이 IMEI라고 할 수 있다.

결과적으로 금융기관의 본인인증 체계상에서 IMSI와 IMEI는 사람과 단말을 인증해 현재 휴대폰을 들고 있는 이 사용자가 진짜 본인임을 검증할 수 있는 두개의 축이된다. 상호 역할을 달리하는 보완적인 관계인 셈이다. 즉, 정부에서 ‘IMEI 데이터는 유출되지 않았다’는 결과는 IMSI나 IMEI 한쪽의 데이터만 가지고는 세간에서 우려하는 금융자산 탈취 등 최악의 사태가 발생할 가능성은 적어졌다는 것을 의미한다.

만일 SK텔레콤 이용자의 IMSI와 IMEI가 동시에 탈취 됐을 경우에 그 파급력은 지금 이상이었을 것으로 추정된다. 실제로 미국에서 이동통신 사업을 영위 중인 티모바일(T-Mobile)의 경우 지난 2021년 7600만명 이상 이용자의 IMSI와 IMEI를 비롯한 이름과 전화번호 등 데이터를 동시에 탈취 당하면서 피해 이용자에게 3억5000만달러(한화 약 5000억원)에 달하는 합의금을 지불하기도 했다.

SK텔레콤의 경우 국내 인증 체계에서 주로 활용되는 주민등록번호 등 개인정보 유출이 아직 확인되지 않았다는 점, 유심보호서비스와 ‘비정상 인증 차단 서비스(FDS)’ 등을 병행해 취약점을 보완할 수 있다는 점 등을 고려하면 IMEI 유출을 피한 것은 ‘불행 중 다행’이라는 업계 및 학계 평가다.

물론, IMSI만 유출됐다고 해서 문제가 없다는 것은 아니다. 전문가들은 IMSI가 가입자 개인정보 식별이 가능한 데이터이며, 이용자의 위치 등 프라이버시 정보가 침해될 수 있다고 경고하고 있다. 더불어 유출된 데이터가 정확히 어디까지인지 확정되지 않은 상황 속에서 안심하긴 이른 상황이다.

이에 따라 통신사들의 보안 취약점을 보완하기 위한 조치가 더 필요하다는 목소리도 커지고 있다. 특히 이번 SK텔레콤의 정보보호 투자액이 통신3사 중 가장 낮다는 사실이 드러나면서, 1위 통신사업자로서 정보보호 의무를 다하지 못했다는 비판이 나오면서다.

전날(30일) 과학기술정보방송통신위원회(과방위)에서 열린 전체회의에서 이해민 의원(조국혁신당)은 “통신3사 중 SK텔레콤의 정보보호 투자액이 600억원(다만 SKB 포함시 867억원)으로 꼴찌”라며 “과학기술정보통신부는 최소 보안투자 투자액을 의무화해야 한다”고 말했다.