작은 유심 칩 속에는 우리가 인식하지 못하는 수많은 디지털 정보의 열쇠들이 숨겨져 있다. 그러나 이 작은 칩이 해커의 손에 들어가면, 마치 불면의 밤에 암호문처럼 얽힌 디지털 세상이 무너질 수 있다. 핸드폰 유심 해킹은 바로 이 유심(USIM: 가입자 식별 모듈)을 악용해 우리의 전화번호와 인증 정보를 탈취하는 범죄다.
최근 SK텔레콤 유심 정보 유출 사고가 수면 위로 드러나면서 그 위험성이 크게 부각되었다. 유심에는 주민등록번호나 금융 비밀번호가 들어 있진 않지만, 전화번호와 IMSI, 인증 키 같은 핵심 식별 정보가 저장된다.
이 정보만으로도 문자의 일회용 비밀번호(OTP)가 가로채일 수 있고, 결국 계좌나 가상자산에까지 피해가 미칠 수 있다. 마치 보이지 않는 창을 통해 우리의 개인 공간이 들여다보이는 셈이다.
유심 해킹이란?
유심 해킹은 크게 두 가지 방식으로 이뤄진다. 하나는 피싱이나 악성코드를 이용해 유심 인증 키를 탈취하는 방법이고, 다른 하나는 SIM 스와핑(SIM Swap) 공격이다. SIM 스와핑은 통신사에 피해자의 전화번호 이동을 요청할 때, 위조 신분증이나 개인 정보를 악용해 가로채는 기법이다.
공격자는 먼저 피해자의 전화번호와 IMSI 같은 정보를 입수한 뒤, 통신사 고객센터에 위조된 자료를 제출한다. 그러면 기존 유심은 강제로 정지되고, 공격자가 가진 유심으로 번호가 이전된다. 이 순간 피해자의 전화는 갑자기 ‘먹통’이 되는데, 피해자는 배터리 문제나 서비스 장애로 오인하기 쉽다.
한 번 번호를 장악한 해커는 2단계 인증을 손쉽게 우회할 수 있다. 국내 주요 금융기관과 거래소들은 여전히 SMS 기반 인증을 많이 사용하는데, 공격자는 피해자의 이메일, 금융 계정 등에 접근해 비밀번호를 재설정한 후 발송되는 인증 코드를 자기 유심으로 받는다.
그 결과 가상자산이 인출되고, 인터넷뱅킹으로 돈이 빠져나가며, 심지어 새로운 대출까지 신청되는 등 폭풍 같은 피해가 발생한다. 피해자는 그제야 자신의 계좌가 비어 있음을 깨닫지만, 이미 모든 절차는 해커의 손안에서 끝나버린 뒤다.
실제로 2019년에는 트위터 공동 창업자 잭 도시(Jack Dorsey)가 이 SIM 스와핑 공격으로 트위터 계정을 빼앗길 뻔했고, 2022년에는 국내에서도 수십 건의 유사 피해가 발생해 수억원대 가상자산이 탈취된 바 있다. 국제적으로도 이더리움 창시자 비탈릭 부테린의 트위터 계정이 SIM 해킹으로 $69만 규모 피싱 사기용으로 악용되는 등 사례가 보고되었다.
최근 사례: SKT 유심 정보 유출과 대응
2025년 4월, SK텔레콤의 유심(USIM) 정보 해킹 사고가 발생했다는 소식이 전해지자 전국의 휴대폰 매장 앞에는 무료 유심 교체 서비스를 받으려는 고객들이 긴 줄을 이뤘다. SKT는 4월 19일 악성코드를 통해 일부 유심 정보가 유출된 정황을 파악했고, 이 사실을 고객에게 알리며 사과했다.
이번 사고로 전화번호, IMSI, USIM 인증 키 등의 핵심 식별 정보가 포함된 대량의 유심 데이터가 유출된 것으로 추정된다. SKT는 즉시 유심 정보 유출 및 불법 이동시도를 차단하고, 이상 징후 발견 시 유심 사용을 정지하는 등 긴급 조치를 진행 중이다.
또한 유심 도용 피해를 막기 위해 ‘유심보호 서비스’를 무료로 제공하며, 무단 기기변경과 해외 로밍 등을 차단하는 대책도 시행 중이다.
한편, 이번 사건을 계기로 금융권도 예의 주시하고 있다. 은행들은 “유심에는 계좌번호나 비밀번호 등 금융 개인정보가 저장되지 않는다”며 “이미 다중 인증 시스템을 갖추고 있어 공격자가 은행 계좌를 마음대로 조작하는 것은 불가능하다”고 설명했다.
실제로 은행 앱 설치 시 고객은 별도의 보안 인증과 패스워드 설정을 해야 하며, 계좌이체 단계에서도 별도 비밀번호를 요구한다. 이처럼 은행 자체의 보안 장벽이 높기 때문에, 이번 SKT 유심 해킹 만으로 곧바로 계좌가 털리거나 대출이 승인되는 일은 당장 현실화되기 어려운 상황이다
유심 해킹의 피해 유형과 징후
그렇다면 핸드폰 유심 해킹이 실제로 일어났을 때 어떤 일이 벌어질까? 가장 먼저 나타나는 징후는 휴대폰의 갑작스런 먹통 현상이다.
전화가 걸려오지 않고 문자가 오지 않으면, 단순한 고장으로 치부하기 쉽지만 이때는 누구보다 빠르게 통신사에 연락해봐야 한다. 이미 공격자가 번호를 탈취했을 수 있기 때문이다.
이후에는 은행에서 ‘인증번호’가 오지 않거나, 신용카드 비밀번호 변경 알림, 지인으로부터 “갑자기 이상한 번호로 연락한다”는 메시지 등이 이어질 수 있다.
즉, 2차 인증(OTP)을 통한 로그인 불가, 계좌 이체 실패, 비밀번호 변경 알림 수신 등의 이상 현상이 연쇄적으로 발생한다.
이 단계에서는 가령 거래소 접속, 인터넷뱅킹, SNS 등 주요 계정에 접속해보면 이미 비밀번호가 변경되어 있거나, 본인이 모르는 자금 인출 내역이 확인될 수 있다. 최악의 경우 피해자는 자신도 모르는 사이에 가상자산이 빼앗기고, 계좌 잔액이 모두 소진된다. 또한 공격자는 피해자의 계정들을 이용해 추가 범죄를 벌일 수 있다.
예를 들어 유출된 계정으로 스미싱·피싱 메시지를 뿌리거나, 피해자 명의로 악성앱을 유포하는 등의 2차 피해가 이어질 수 있다. 한편, 국내 은행은 통신사 인증 외에도 패턴·지문·ARS 인증 같은 보조 인증 수단을 적극 활용하고 있어 이중삼중의 보안 장벽이 갖춰져 있다. 통장·대출 등 금융 거래의 경우에도 신분증 제출과 전화 인증을 거치기 때문에 유심 정보만으로는 뚫기 힘들다.
대비책과 예방 수칙
이제 핸드폰 유심 해킹을 대비하기 위한 안전수칙을 살펴보자.
첫째, 문자 인증 대신 인증 앱이나 보안 키(OTP)를 사용하자.
보안 전문가들은 “문자메시지 하나로 모든 계정이 뚫릴 수 있다”며, 인터넷뱅킹·거래소 로그인에 카카오톡 인증이나 OTP 앱(예: 신한T인증, KB국민앱 OTP 등)을 설정할 것을 권한다. 이중인증을 스마트폰 SMS가 아닌 별도 장치로 걸어두면 SIM 스왑의 타깃에서 벗어날 수 있다.
둘째, 휴대폰 유심 PIN(잠금번호)을 설정해 두자.
스마트폰은 기본적으로 유심 초기 비밀번호가 ‘0000’으로 되어 있다. 반드시 설정 메뉴로 들어가 SIM PIN을 활성화하고, 강력한 숫자로 변경해야 한다. (안드로이드 ‘설정 > 보안’ 혹은 아이폰 ‘설정 > 셀룰러 > SIM PIN’에서 가능하다. PIN을 세 번 연속 틀리면 유심이 잠기므로, 너무 약한 번호를 쓰지 않는 것이 좋다. 유심이 잠겼다면 통신사 고객센터의 PUK(개인고유번호)를 입력해야 해제할 수 있으니, 계약서나 홈페이지에서 미리 확인해 두자.
셋째, 통신사 부가 보안 서비스에 가입하자.
SK텔레콤·KT·LG유플러스 등 통신사들은 유심 복제·도난을 방지하는 보안 서비스를 제공한다. 예를 들어 SKT는 ‘유심보호 서비스’로 무단 기기변경과 임의 번호이동을 차단하고, 타사도 비슷한 안전 조치를 권장한다. 이러한 서비스를 신청해 놓으면, 본인이 알지 못하는 유심 교체나 번호 이동 시 즉시 통보를 받거나 자동 차단된다.
넷째, 개인정보 관리에 각별히 신경 쓰자.
유심 탈취를 위해 해커는 주민등록번호, 가족관계, 전화번호부 등 사소한 정보도 활용할 수 있다. 평소 불필요한 개인정보 제공을 자제하고, 스미싱·피싱 메시지에 속지 않도록 주의해야 한다. 특히 전화나 문자로 인증번호를 요구하면 즉시 의심하고, 발신자의 통신사 고객센터 번호로 직접 확인하는 습관을 들이자.
마지막으로, 주기적인 점검과 경계가 필요하다.
휴대폰이 갑자기 먹통이 되거나 알 수 없는 앱이 설치되었을 때는 단순한 버그로 치부하지 말고 즉시 통신사에 문의하자. 또한 금융 계좌나 거래소 계정을 장기간 방치하지 말고, 로그인 이력을 수시로 살펴보는 것이 좋다. 몇 초의 주의가 큰 피해를 막을 수 있다. 유머를 덧붙이자면, 휴대폰에 모닝커피 대신 이중 잠금(2FA)을 한 잔 타준다고 생각해 보자.
결국 핸드폰 유심 해킹은 눈에 보이지 않는 적이지만, 충분히 대응 가능하다. 은행과 통신사, 그리고 사용자가 협력하면 위기 상황에서도 피해를 최소화할 수 있다. 기술과 보안은 이미 일상 깊숙이 자리하고 있으므로, 오늘부터라도 설명한 예방수칙을 실천해보자. 마치 감시 카메라 없는 출입구에 자물쇠를 채우는 것처럼 말이다.