주요 가상자산 거래소들이 SK텔레콤(SKT) 유심 해킹 사태로 인해 투자자 피해 보호 조치에  나서고 있다.

28일 업계에 따르면 업비트, 빗썸, 코인원, 코빗, 고팍스 등 국내 5개 거래소들은 고객이 원하는 범위에서 '계정 잠금'으로 해킹에 대응 할수 있도록 했다. 계정 잠금 서비스는 휴대폰 해킹 등으로 본인 외의 로그인이 발생할수 있는 사항에 대비해 이용자가 취할 수 있는 조치다. 계정이 잠기면 로그인 된 모든 기기에서 로그아웃되고 다시 로그인할 수 없다.

이를 해제하기 위해서는 콜센터나 고객센터 등을 통해 본인 신분증을 포함한 본인 인증을 거쳐야 하기 때문에 해킹으로 인한 피해를 줄일 수 있다. 계정 잠금은 고객이 원할때만 진행이 가능하다. 

가상자산 거래소들의 이번 투자자 보호 조치에 나선 것은 지난 22일 SKT가 해킹으로 인한 악성코드 감염으로 고객들 다수의 유심 정보 일부가 유출됐다고 공지했기 때문이다.  

이번 해킹으로 유출된 것은 전화번호나 주민등록번호, 아이디나 비밀번호 등의 개인정보가 아닌 유심 정보가 유출된 것이다. 유심 정보는 이동가입자식별번호(IMSI), 단말기 고유식별번호(IMEI), 유심 인증키가 포함된다. 

유심은 고객의 고유한 정보를 담은 칩으로 통신사 네트워크에 접속하고 인증할 때 사용하는 정보로 복제폰 개통, 인증번호 탈취, 보이스피싱 등 2차 피해 가능성을 배제하기 힘들며 금융 사기에 연루될 가능성도 있다. 

유심 정보 유출로 가장 우려되는 범죄는 '심 스와핑 '(SIM Swapping)이다. 유심 정보를 도용·복제해 피해자의 은행이나 가상화폐 계좌를 탈취해 자산을 훔치는 신종 해킹으로 심 카드에 복제하면 휴대전화 인증 번호를 가로채서 본인인증을 무력화시킬 수도 있다.

2018년 캐나다에서는 10대 소년 해커가 심 스와핑으로 약 475억원의 가상화폐를 빼냈다. 국내에서도 2022년에 경찰이 약 40건의 심 스와핑 피해 의심 사례를 수사하기도 했다. 당시 피해자들은 휴대전화가 갑자기 먹통이 된 후 수백만원에서 2억7000만원 상당의 가상자산을 도난당했다고 진술했다. 

가상자산 거래소의 한 관계자는 "개인정보 특성상 거래소 회원들 중 누가 SKT를 사용하고 있는지 확인하기도 어렵고, 통신사 이동을 한 고객들이 있기 때문에 거래소에서 선제적으로 대응하기에는 어려움이 있다"라며 "투자자들의 적극적인 요청이 필요하다"고 말했다. 

장세진 기자 / 경제를 읽는 맑은 창 - 비즈니스플러스