폰이 분명 내 손에 있는데, 누군가 가로챘다…심 스와핑 발칵 [트랜D]

휴대전화는 우리 삶의 필수품이 된 지 오래됐습니다. 휴대전화를 잃어버리게 되면 누군가 내 휴대전화의 잠금장치를 풀어 마음대로 사용하지 않을까 걱정하기 마련입니다. 하지만 최근 몇 년 사이에는 휴대전화가 심지어 내 손에 있음에도 불구하고 누군가 내 휴대전화를 가져가는 일이 종종 발생하기 시작했습니다.

흔히 유심칩으로 불리는 가입자 식별 모듈 카드(SIM Card, Subscriber Identity Module)는 휴대전화에 꽂아 쓰는 일종의 스마트카드입니다. 유심칩은 가입자를 인증하는 장치로 정상 사용을 위해서 사용자를 판별합니다. 유심칩에는 고유 번호가 있고, 이동통신사에 휴대전화 개통을 위해 필요한 정보가 모두 다 있기 때문에 다른 휴대전화로 바꿔 꽂아도 사용할 수 있습니다.
본래 유심칩 인증은 가입자만 가능하기에 보안성이 높습니다. 문제는 이러한 인증 절차가 뚫려 같은 고유 번호의 유심칩을 누군가 마음대로 재발행할 수 있게 됐다는 것입니다. 이 같은 방식을 '심 스와핑(SIM Swapping)'이라 일컫습니다. 신종 해킹 위협이 된 것이죠.

휴대전화의 핵심인 유심칩. [사진 unsplash]

누군가 유심칩을 복제할 때 문자 메시지와 전화를 대신 수신할 수 있습니다. 요즘엔 개인 인증을 휴대전화로 하는 경우가 많은데 심 스와핑을 통해 이를 가로채는 것입니다. 이렇게 되면 휴대전화 소액 결제는 물론 개인 은행 계좌를 손에 넣을 수 있습니다.

신종 해킹 방식은 지금까지 해외에서 종종 발생했습니다. 미국의 한 사용자는 심 스와핑으로 인해 2380만 달러의 암호화폐를 도난당했다며 이동통신사인 AT&T에 도난당한 피해액의 10배에 달하는 소송을 제기하기도 했습니다. 당시 AT&T 대리점 직원이 심 스와핑을 도왔던 정황이 밝혀졌기 때문입니다.

최근 국내에서도 이런 사례가 발생했습니다. 올해 초 총 3건의 심 스와핑 피해 사례가 발생했는데, 피해자는 자신도 모르는 사이에 유심칩을 도난당했습니다. 누군가 휴대전화로 여러 서비스의 비밀번호를 재발급하고 암호화폐를 마음대로 인출해 버린 것입니다.

주의해야 할 점은 누군가 심 스와핑을 할 때 실질적으로 이를 사전에 차단할 방법이 별로 없다는 점입니다.
심 스와핑이 발생하는 방식은 현재까지 알려진 바로는 개인 정보를 통한 재발급입니다. 유심칩을 복제하는 방식은 누군가 물리적으로 복제해야 하므로 어렵습니다. 국내의 경우 유심 정보를 입력하고 관리하는 주체는 이동통신사입니다. 자체 전산망에서만 진행하기 때문에 개인이 유심칩을 마음대로 복제하거나 재발급하기는 어렵습니다.

해외 사례를 살펴보면 주로 개인 정보를 많이 수집한 경우에 한해서 심 스와핑이 왕왕 발생하는 것으로 알려져 있습니다. 소셜 미디어에 공개한 이메일, 생일 등 개인 정보와 다른 인터넷 공간에서 공개된 정보가 더해지면 한 사람의 정보를 모으는 것이 아주 불가능한 일은 아닙니다. 사용자를 가장해 이동통신사에 연락하고 자신의 신원을 인증한 후 유심칩을 재발급받는 것입니다. 비밀번호나 보안 질문을 비롯한 정보를 가진 경우 신원 인증 절차를 통과할 수 있습니다. 이러한 과정을 사전에 개인이 스스로 막을 수 있을 확률은 낮습니다. 대부분 사건이 발생하고 이를 인지하기 때문입니다.

[사진 tech-space]

앞으로 심 스와핑이 더 극성을 부릴 수 있는 이유는 개인 데이터 유출 사건이 계속되고 있기 때문입니다. 지난 몇 년 동안 발생한 개인 데이터 침해 및 정보 유출 사건은 수십 건이 넘습니다. 지난해 4월 페이스북에서 유출한 데이터는 5억 개가 넘는 계정에 해당합니다.

국내에서도 여러 온라인 서비스에서 개인 정보 유출 사건이 종종 발생하고 있습니다. 이러한 정보들이 모이고 정리되면 개인을 향한 심 스와핑 공격은 누구라도 당할 수 있습니다.

심 스와핑으로 의심되는 대표적인 증상은 전화나 문자가 제대로 송·수신되지 않거나 무선 네트워크 접속 불가 등의 메시지가 뜨는 경우입니다. 누군가 유심칩을 발급받는 과정일 것이므로 즉시 이동통신사에 연락해 전화 회선 자체를 일시 정지 요청해야 합니다. 또, 휴대전화를 끄지 않고 무단 접근에 대한 알람이 수신되는 것을 확인해야 대응할 수 있습니다.

유심에 비밀번호(PIN 번호)를 설정하는 것도 방법입니다. 해커가 유심을 새로 발급할 때는 효과가 없겠지만, 휴대전화를 분실하는 경우를 생각하면 설정할 필요가 있습니다. 구글 OTP 인증기와 같이 문자 기반 보안 인증 장치가 아닌 별도의 보안 장치를 사용하는 것도 방법입니다. 해커가 휴대전화를 통제하게 되면 이러한 방식도 우회할 수 있지만 최소한의 대응으로 설정해 둘 필요가 있습니다.

구글의 2단계 인증 방식 [사진 구글]

심 스와핑은 사전 예방이 어렵지만, 최대한 피해를 줄이기 위해서는 온라인상 프로필과 개인 정보를 최대한 비공개로 설정할 필요가 있습니다. 페이스북, 틱톡, 트위터, 링크드인 등 모든 소셜 네트워크 계정에서 개인 정보 관련 설정을 수정할 필요가 있습니다. 물론 온라인 서비스가 먼저 개인 정보 유출을 막아야 하지만 지금까지 발생한 유출 사건을 보면 온라인 서비스 기업을 전적으로 믿을 수만은 없습니다.

최근 여러 연구 및 설문 조사에 따르면 사람들은 데이터 유출로 인해 은행 계좌나 주민등록번호 유출 등에 대해서는 심각하게 생각합니다. 하지만 이름, 이메일 주소, 생년월일, 집 주소 등에 대해서는 상대적으로 덜 심각하게 생각하는 경향을 보입니다.

개인 정보를 최대한 온라인에 노출되지 않도록 수정하고 지금보다 더 강력한 온라인 비밀번호와 보안 질문을 설정해야 합니다. 2단계 생체 인식을 지원하는 앱과 서비스를 사용하면 생체 인식 보안을 뚫기는 어렵기 때문에 도움이 될 수 있습니다. 그리고 각종 피싱 이메일, 문자 등에 응답하지 않도록 주의를 기울이는 것이 심 스와핑을 피할 방법이 될 수 있습니다.

윤준탁 에이블랩스 대표

윤준탁 에이블랩스 대표는 SK플래닛, 한국IBM 등에서 근무했다. 뉴욕대학교에서 기술경영 석사를 취득했다. 1인 컨설팅 기업인 에이블랩스의 대표를 맡고 있다. 인공지능·블록체인 등에 관심이 많고, 디지털 경제와 산업에 대한 3권의 책을 펴냈다.