최근 SK텔레콤 유심정보 서버 해킹으로 보안업계 일각에서는 휴대전화로 편중된 본인확인 수단을 다양화해야 한다는 지적이 나오고 있다.
보안업계에 따르면 이동통신 3사가 제공하는 휴대전화 본인확인 서비스는 전체 인증 시장의 약 96%를 차지하고 있다. 신용카드, 아이핀, 인증서 등 기타 수단이 있더라도 대부분의 온라인 서비스 이용자는 휴대전화 인증에 의존한다는 것이다.
하지만 최근 사태로 인해 탈취된 유심 정보를 악용한 금융 범죄 등 2차 피해 우려가 커졌다. 해커가 복제 유심을 만든 뒤 휴대전화 인증까지 우회한다면 이후 공격자는 이동통신 가입자 등의 금융·공공·플랫폼 서비스에 접근할 수 있다.
관련해서 SK텔레콤은 유심 정보와 단말기 정보를 대조해 불법적 유심 사용을 차단하는 `유심보호 서비스`를 시행 중이라는 설명이다. 하지만 최근 한국인터넷진흥원(KISA)이 조사 과정에서 SK텔레콤 서버 내 추가 악성코드를 발견하는 등 추가 피해가 없다고 장담하긴 어려운 상황이다.
업계 관계자는 "유심에는 전화번호 외에도 가입자 고유식별번호(IMSI), 인증키 등 민감한 정보가 담겨 있다. 단 한 번의 유출이 다양한 시스템에서 본인확인을 우회할 수 있는 취약점으로 작용하는 것"이라며 "유심 교체로 사태를 넘길 게 아니라 장기적 관점에서 인증 시장의 구조적 취약함을 개선해야 한다"고 꼬집고 있다.
업계는 본인확인 수단의 다변화 및 본인확인 기관 확대가 위험을 분산할 수 있다고 제시한다. 지금처럼 특정 기술, 소수 기관에 인증 채널이 집중된 구조라면 문제는 언제든 재발할 수 있다.
이 관계자는 "블록체인 기반 디지털 ID, 이심(eSIM) 등 다양한 대안이 있을 수 있다"며 "특히 행정안전부가 최근 도입한 `국가 모바일 신분증`도 좋은 방법"이라고 제시하고 있다.
모바일 신분증은 블록체인 기반으로 위·변조가 어렵고 영지식증명 을 활용해 필요한 정보만 선택적으로 제공할 수 있다. 올해 3월 14일부터 전국적으로 발급이 시작됐다.
이같은 대체적 본인확인이 확산하려면 다양한 민간 서비스에서 이를 인정·취급해 줘야 한다. 모바일 신분증의 경우 일부 행정기관 및 시중 15개 은행에서만 본인 확인이 가능하다.
이 관계자는 "블록체인 기반 신원인증 등 다양한 기술을 제도권 안에 포함하려면 관련 법적 근거와 정책적 지원이 필수적"이라고 덧붙였다.
본인확인 서비스는 인터넷상 주민등록번호 수집·이용을 줄이기 위해 마련된 대체 인증 수단이다. 방송통신위원회가 지정한 25개 본인확인 기관이 다양한 방식으로 서비스를 제공 중이다.
그러나 유심정보 서버 해킹 사건을 계기로 휴대전화로 편중된 본인확인 수단을 다양화해야 한다는 지적이 나오고 있다.