이 포스팅은 쿠팡 파트너스 활동의 일환으로 수수료를 지급받을 수 있습니다.
휴대폰 요금 명세서에 나도 모르는 청구 내역이 있다면? 스미싱 문자를 클릭한 적도 없는데 말이죠. 최근 논란이 된 ‘IMSI 유출’ 사건이 그 원인일 수 있습니다. 가입자 식별 정보인 IMSI가 어떻게 금융 범죄에 악용되는지, 그리고 자산을 지키기 위한 방법은 무엇인지 알아보겠습니다.
IMSI란? 유심 속 고유식별번호
IMSI(International Mobile Subscriber Identity)는 유심(USIM) 카드에 저장된 15자리의 국제 모바일 가입자 식별번호입니다. 통신사가 사용자를 식별하고 인증하는 핵심 정보로, 전화번호와는 다릅니다. 최근 이 IMSI가 유출되어 나도 모르는 사이 금액이 청구되는 사고가 발생하면서 안전성에 대한 우려가 커지고 있습니다.
IMSI는 전화번호(MSISDN), 유심 일련번호(ICCID)와 역할이 다르므로, 그 차이를 이해하는 것이 중요합니다.
| 구분 | IMSI (가입자 식별번호) | ICCID (유심 일련번호) | MSISDN (전화번호) |
|---|---|---|---|
| 정의 | 통신망에서 가입자를 식별하는 고유 번호 | USIM 카드 자체의 물리적인 고유 일련번호 | 실제 통화, 문자에 사용되는 사용자의 번호 |
| 주요 역할 | 통신망 접속 및 사용자 인증 | SIM 카드 관리 및 식별 | 사용자 간 통신 및 서비스 이용 |
| 저장 위치 | USIM 칩 내부 | USIM 칩 내부 및 카드 표면 | 통신사 네트워크 서버 |
IMSI만으로 대금 지불이? 허술한 인증의 민낯
문자 인증번호를 알려주지 않아도, 유출된 IMSI만으로 비대면 금융 거래가 가능하다는 사실이 알려져 충격을 주고 있습니다. 범죄 수법은 생각보다 간단합니다.
- 다크웹 등에서 유출된 개인정보(전화번호, IMSI)를 확보합니다.
- 탈취한 정보로 특정 서비스에 피해자인 척 로그인을 시도합니다.
- 일부 지불 대행사가 SMS 인증 없이 IMSI 값 일치 여부만으로 본인인증을 통과시켜, 그대로 금액이 청구됩니다.
이처럼 문자 인증 없이도 거래가 완료되는 것입니다. 편리함을 위해 도입된 간편 인증 절차나, 비밀번호 찾기 시 너무 간단한 본인 확인 질문 등 우리 주변의 보안 허점들이 모여 큰 사고로 이어질 수 있다는 경각심이 필요합니다.
스미싱 넘어 IMSI 탈취, 신종 사기 수법
최근에는 링크를 클릭하지 않아도 IMSI가 탈취되는 신종 범죄가 등장했습니다. 범죄자는 유동인구가 많은 곳에 ‘IMSI 캐처’라는 가짜 기지국을 설치합니다. 근처 스마트폰이 이 기지국에 자동으로 접속하는 순간 IMSI가 유출됩니다.
공격자는 탈취한 IMSI로 피해자의 기기 정보를 도용해 금전 거래를 시도하며, 이때 SMS 인증번호까지 가로챌 수 있어 피해자가 인지하기 어렵습니다. 따라서 다음과 같은 사전 예방이 중요합니다.
- 통신 부가서비스 한도 관리: 이용하지 않는다면 통신사를 통해 휴대폰 소액 이용 기능을 차단하고, 필요하다면 한도를 최소한으로 낮춰 설정하세요.
- 정기적인 명세서 확인: 매달 청구서를 꼼꼼히 살펴 본인이 사용하지 않은 내역이 있는지 확인하는 습관을 들여야 합니다.
- 신속한 신고: 의심스러운 거래 내역 발견 즉시 통신사와 경찰에 신고하여 추가 피해를 막고 구제 절차를 진행해야 합니다.
이 수법은 사용자의 부주의 없이도 발생할 수 있으므로, 기존 스미싱 예방책만으로는 부족하다는 점을 명심해야 합니다.
서비스 차단만이 최선일까? 근본적 대책은
피해에 대한 불안감으로 관련 서비스를 아예 차단하는 경우가 많습니다. 하지만 이는 임시방편일 뿐, SMS 인증을 가로챌 수 있다는 근본적인 취약점은 그대로입니다. 더 강력한 보호 장치로 자산을 지키는 노력이 필요합니다.
“한 보안 전문가는 ‘다중 인증은 이제 선택이 아닌 필수입니다. 특히 금융과 관련된 서비스는 가장 높은 수준의 인증 방식을 적용하는 것이 안전 자산을 지키는 최선의 길’이라고 조언합니다.”
가장 현실적인 대안은 인증 단계를 강화하는 것입니다. 단순 SMS 인증에서 벗어나, 아래와 같은 다중 인증(MFA)을 적극적으로 활용해야 합니다.
- 앱 푸시 알림 또는 일회용 비밀번호(OTP) 인증 추가
- 콘텐츠 이용료 지불 시 별도 비밀번호 설정
- 유심(USIM) 카드 PIN 번호 설정으로 기기 분실 및 복제 시도 대비
이러한 다중 인증은 기기 자체를 인증하기 때문에 IMSI가 유출되더라도 제3자가 승인 단계를 통과하기 어렵습니다. 이제 무조건 서비스를 막기보다, 능동적인 안전 설정으로 편의성과 보안을 모두 확보해야 합니다.
끝나지 않은 논란, 제도적 보완 시급
IMSI 유출로 인한 금융 사고가 계속되면서 책임 소재와 해결 방안을 둘러싼 논의가 뜨겁습니다. 이용자 보호를 위한 실질적인 제도 개선이 시급한 가운데, 두 가지 주장이 대립하고 있습니다.
하나는 통신사와 지불 대행사가 취약한 SMS 인증을 OTP나 생체 인증 등 다중 인증으로 의무적으로 강화해야 한다는 입장입니다. 범죄를 원천 차단할 수 있지만, 절차가 복잡해지고 추가 비용이 발생한다는 단점이 있습니다.
다른 하나는 이용자가 직접 보안 수준을 선택하게 하자는 의견입니다. 한도 설정, 서비스 차단 등 옵션을 제공해 편의성을 해치지 않으면서 선택권을 보장하는 방식입니다. 하지만 보안에 취약한 이용자를 보호하기 어렵고, 문제 발생 시 책임을 개인에게 돌릴 수 있다는 비판을 받습니다.
각 해결 방안의 장단점과 책임 주체는 아래와 같이 정리할 수 있습니다.
| 구분 | 인증 절차 의무 강화 | 이용자 선택형 보안 서비스 |
|---|---|---|
| 장점 | 높은 보안성, 사기 예방 효과 큼 | 이용 편의성 유지, 이용자 선택권 보장 |
| 단점 | 인증 절차 복잡, 시스템 구축 비용 발생 | 근본적 해결책이 아님, 이용자 보호 미흡 가능성 |
| 주요 책임 주체 | 정부, 통신사, 지불 대행사 | 이용자 개인 |
결국 편의성과 보안 사이의 균형점을 찾는 것이 중요합니다. 정부의 최소 보안 가이드라인 법제화, 기업의 안전한 시스템 개발, 이용자의 정보 보호 노력이 함께 이루어지는 사회적 합의를 통해 모두가 안심할 수 있는 환경을 만들어야 합니다.
자주 묻는 질문
✅ 문자 인증번호를 알려주지 않았는데, 어떻게 유출된 IMSI 정보만으로 소액결제가 이루어질 수 있나요?
→ 일부 지불 대행사의 본인 인증 절차에 허점이 있기 때문입니다. 범죄자가 다크웹 등에서 확보한 IMSI와 전화번호로 결제를 시도하면, 해당 지불 대행사가 SMS 인증 절차 없이 IMSI 값 일치 여부만으로 본인인증을 통과시켜 결제가 승인되는 경우가 있습니다.
✅ 스마트폰으로 의심스러운 링크를 클릭한 적이 없는데도 IMSI가 유출될 수 있는 방법은 무엇인가요?
→ 범죄자가 유동인구가 많은 곳에 ‘IMSI 캐처’라는 가짜 기지국을 설치하는 신종 수법을 사용하기 때문입니다. 주변 스마트폰이 이 가짜 기지국에 자동으로 접속하는 순간, 사용자도 모르게 IMSI 정보가 탈취될 수 있습니다.
✅ IMSI 유출로 인한 소액결제 피해를 막기 위해 제가 직접 할 수 있는 예방 조치에는 어떤 것들이 있나요?
→ 우선 통신사를 통해 사용하지 않는 휴대폰 소액결제 기능을 차단하거나 한도를 최소한으로 낮추는 것이 좋습니다. 또한 매달 휴대폰 요금 명세서를 꼼꼼히 확인하여 본인이 사용하지 않은 내역이 있는지 점검하고, 의심스러운 거래 발견 시 즉시 통신사와 경찰에 신고해야 합니다.
댓글 남기기