유출된 개인정보 범죄에 악용될 가능성 우려
미국 2위 이동통신사 T모바일이 해킹을 당해 4000만 명 이상의 고객정보가 유출됐다고 18일(현지시간) 월스트리트저널(WSJ)이 보도했다.
T모바일은 이날 해커들이 현재 고객과 잠재적 고객 4000만여 명의 이름과 생일, 사회보장번호(SSN), 운전면허증 등 개인정보를 탈취해갔다고 발표했다. 피해 고객에는 후불 요금제 고객 780만 명은 물론 신용 확인이 필요 없는 선불폰 고객 85만 명을 비롯해 과거 T모바일에 신용조회를 신청했던 옛 고객과 잠재 고객 등이 포함됐다. T모바일은 6월 현재 1억480만 명의 고객을 보유하고 있다.
T모바일은 이날 정보 유출 가능성이 있는 고객 정보 등이 담긴 온라인 포털을 개설하고 개별 고객에게 문자메시지와 이메일로 해킹 사실을 공지하기 시작했다. 또한, 선불폰 고객의 계정 개인식별번호(PIN)를 재설정했다면서 후불제 가입자들도 같은 조치를 하라고 권고했다. 이와 함께 보안회사 맥아피의 신원 보호 서비스를 2년간 무상으로 제공할 것이라고 밝혔다.
회사는 “고도로 정교한 사이버 공격”이라면서도 구체적인 해킹 수법이나 공격에 이용된 보안상 취약점 등에 관해서는 설명하지 않았다.
문제는 이번 해킹으로 인해 유출된 개인 정보가 신분도용이나 SIM스와핑 등과 같은 범죄에 악용될 우려가 커지고 있다. SIM스와핑이란 스마트폰 가입자 식별 용도로 사용하는 SIM카드, 우리나라에선 일반적으로 유심(USIM)이라고 부르는 카드에 피해 고객 정보를 빼돌리는 수법이다. 예를 들어 개인계좌 비밀번호 등 보안과 관련된 정보를 미리 확보한 뒤 통신사로부터 본인인증을 거쳐 해커 또는 범죄자가 소유한 SIM카드에 피해자 전화번호를 이동시키는 방식이다.
특히 이미 이번에 해킹된 개인 정보 일부가 암거래 시장 웹사이트에 올라온 것으로 알려지면서 우려가 커지고 있다. 보안업체 레스큐리티에 따르면 판매자는 해당 정보 대가로 최소 8만 달러(약 9400만 원)에서 최대 6비트코인(18일 기준 27만 달러·약 3억 1700만 원)을 요구하고 있다.
이번 해킹은 최근 몇 년 새 미국에서 있었던 사회보장번호 유출 사건들 가운데 규모가 큰 축에 속한다고 WSJ은 설명했다. 2017년 신용관리 업체 에퀴팩스 해킹 사건 때는 1억4300만 명의 사회보장번호와 이름, 주소, 생일 등이 유출됐다. 미 연방 통신위원회(FCC)는 이번 T모바일 해킹 사건에 대한 조사를 시작했다.