[비즈한국] ハッキング事態が発生したSKテレコム017670が、USIM(加入者識別装置)の無償交換を開始したが、USIMの不正複製などによる二次被害の可能性に対し、加入者の不安は続いている。会社側が打ち出した被害防止策は、施行初期の利用者の殺到により混乱を招き、懸念を払拭するには力不足の様子だ。供給不足により、消費者は行列に並んでもUSIMを交換できない状況が続いており、代替案とされる「USIM保護サービス」さえも申請者が殺到したことで「加入予約」システムに切り替えられた。
専門家らは、USIMの交換は金融取引などの犯罪悪用に関連する根本原因を技術的に取り除ける現実的な方法だと評価する。USIM情報だけでは銀行アプリが求める認証段階を突破することは困難であり、通信会社が中央でUSIMの複製や盗用を検知して正確に遮断すれば、実際の被害にはつながらないという説明だ。ただし、二次被害を完璧に制御できるわけではないという意見も出ている。

USIM交換、現時点では「最善」
12日目に突入したSKテレコムのハッキング事態は、様々な争点を引き起こした。セキュリティ管理に不備があったかという会社の過失の有無を問い、補償を求める声が高まる中、政治圏を中心に遅延報告による法違反の可能性も指摘されている。不十分な初期対応に対しても指摘が相次いでいる。
USIM交換の実質的な効果は、利用者にとって最大の関心事だ。29日、SKT侵害事故に関する官民合同調査団の1次調査結果発表によると、今回の事態で流出した情報は、加入者の電話番号と加入者識別キー(IMSI)などUSIM複製に悪用され得る4種と、USIM情報処理に必要な会社の管理用情報21種である。
注目すべきは、機器固有の身分証の役割を果たす端末固有識別番号(IMEI)は流出しなかったという点だ。これまでは流出項目や範囲などが公開されておらず、USIMの不正利用がどこまで広がるか予想が難しかった。調査団を構成した科学技術情報通信部は、IMEIの流出はなかったことを明確にし、「現在SKTが施行中のUSIM保護サービスに加入すれば、いわゆる『SIMスワッピング』行為は防止されることを確認した」と伝えた。SIMスワッピングとは、ハッカーが盗用情報で複製した偽のSIMカードを作成し、被害者の電話やメール、金融アカウントにアクセスするサイバー犯罪の手法だ。
SKテレコムは18日午後6時、9.7GBに及ぶデータの移動を初めて認識し、同日午後11時20分に悪性コードを発見した後、ハッキング攻撃を受けた事実を内部的に確認した。ハッキング攻撃を受けたSKテレコムのホーム加入者サーバー(HSS)は、USIM情報や料金プランなどの統合データを管理する中核施設である。

流出が確認されたUSIM情報だけでUSIMの複製が成立する可能性は高くないというのが業界の共通した見解だ。ファン・ソクジン東国大学国際情報保護大学院教授(警察庁デジタルフォレンジック諮問委員)は、「金融情報を悪用するには本人認証手続きを経る必要があり、IDやパスワード、証明書の暗号などにはアクセスできないため、実質的に限界がある」と説明した。
仮に複製フォンを作成したとしても、送金などの実際の被害につながる余地は低いと見ている。これには、USIM保護サービスなど通信会社の制御装置が適切に作動するという前提が必要だ。ファン教授は、「通信会社がネットワークレベルで正常に登録された端末かを認証し、複製USIMの検知と遮断を行うため、二次被害が実際に発生しにくい条件である」と付け加えた。
クォン・ホンヨン高麗大学情報保護大学院教授は、「USIM情報と携帯電話内に保存された情報を区別する必要がある」とし、「具体的な流出内容と被害事実が確認されていない段階で、過度に過熱するのは慎むべきだ」と述べた。
100%の被害遮断は「疑問符」
SKテレコムは先に27日、追加対策を発表し、「USIM保護サービス加入後にも、不法なUSIM複製被害が発生した場合は責任を負う」と明かした。USIM保護サービス関連の対応力を強調する趣旨だが、いざ二次、三次被害の段階に至ると責任の所在を問うのは難しいという懐疑的な見方も出ている。
韓国デジタル認証協会長を務めるイ・ギヒョク中央大学融合保安学科教授は、「例えば2年前にハッキング攻撃を受けた雇用情報院のデータが闇市場で取引されていると仮定した場合、SKテレコムのHSSサーバー、雇用情報院、他のサイトで流出した個人の情報が組み合わさると問題が生じる。ハッカーが個人に合わせた標的型攻撃を仕掛けることが可能になるからだ」と説明した。さらに、「情報の組み合わせによって被害が発生した場合、その時に果たしてSKテレコムに責任を問い、立証できるだろうか」と問いかけた。
調査団は調査過程で「BPFDoor」系列の悪性コード4種を発見した。この悪性コードは隠蔽性が高く、ハッカーの通信履歴を検知しにくいのが特徴だ。ヨム・フンヨル順天郷大学情報保護学科名誉教授は、「一般的なバックドアが、ハッカーが1次侵入後に再侵入を容易にするためにバックドアを残すという概念なら、この方式は自らを隠す『ステルス機能』があるため検知が極めて困難だ。モニタリング体系で確認されたことは不幸中の幸いだ」と指摘した。

揺らいだ「通信セキュリティ」、次のチャプターは…
クォン・ホンヨン教授は、「利用者の観点から収拾が行われる中、今後はこの事態がなぜ発生したのかを検証しなければならない」と提言した。2300万人の加入者を抱える国内1位の通信会社の核心データが流出するまで、セキュリティ管理体系に問題はなかったのか、根本的な診断が必要だということだ。
SKテレコムは情報保護に競合他社より少ない費用を投じている。KISAの情報保護公示ポータルによると、SKテレコムの昨年の年間情報保護投資額は約600億ウォンだ。前年比9%増えたが、KTやLG U+の上昇幅には遠く及ばなかった。KTとLG U+の投資額はそれぞれ1218億ウォン、632億ウォンである。
ファン・ソクジン教授は、「KTとLG U+はハッキング事態を経験し、コスト投資やセキュリティ人員の増大などの措置をとった」とし、「今回のハッキング手法を見ると、一時に情報が流出したのではなく、かなり長い時間をかけて進行された可能性もある。全面的なセキュリティ体系の改善と投資が必要だ」と強調した。

今回の事態で、通信会社のサーバーが「主要情報通信基盤施設」に含まれていなかった事実が判明し、政府の管理責任も取り沙汰されている。政府が関連法に基づき、通信・金融・エネルギーなど国家核心施設をセキュリティ点検対象として管理しているが、現制度では政府の権限が制限的であり、指定・管理体系を見直すべきだという指摘だ。
イ・ギヒョク教授は、「通信は全国民が利用するサービスであるだけに、それに見合ったセキュリティ基準が必要だ。セキュリティの脆弱性を改善するのが最初の課題であり、管理能力に優れたセキュリティ専門家の確保、高度化するハッキング技術に対する体系構築など、変化が求められる」と述べた。
SKテレコムが保有するUSIMの在庫は100万個で、全体の交換対象者に比べて不足しており、USIM交換サービスの空白状態を招いているという声がある。当面、利用者が機種変更や通信会社の乗り換えに動く傾向は続くとの見通しだ。SKテレコムは、USIMソフトウェアを変更する「USIMフォーマット(仮称)」方式と、USIM保護サービスの拡大で解決策を講じる方針だ。SKテレコムは「ローミングサービスを利用しながらUSIM保護サービスも利用できるよう開発を進めている」と伝えた。
ヨム・フンヨル教授は、「通信会社を乗り換えればUSIMカードも交換される。二次被害の抑制効果に大きな違いがなくても、現在USIMカードの需給問題が可視化している以上、早急に対処しようとする利用者の離脱は起こり得る」と語った。