어느날 계좌에서 코인이 증발했다..잭 도시도 당한 이 수법

최근 '유심칩 바꿔치기' 통한 신종 해킹 수법 발생피해자 인증 문자 대신 받아 계좌에서 자산 빼내

/사진=게티이미지뱅크

# A씨는 최근 스마트폰이 먹통이 됐음을 알게됐다. 마치 개통이 안된 단말기처럼 데이터 서비스가 중단되고 전화나 문자도 연결되지 않았다. 혹시나 싶어 휴대폰 유심칩을 뺐다 끼우니 정상 작동했지만, 그날 오후 A씨 계좌에서 암호화폐 '리플' 수천만원 어치가 다른 지갑으로 전송돼 있었다.

이처럼 휴대폰 유심칩을 뺐다 끼웠더니 갑자기 계좌에서 암호화폐가 빠져나가는 피해사례가 최근 발생하고 있다. 개인정보를 탈취한 해커가 새 유심칩을 개통한 후 자신의 휴대폰에 끼워 피해자의 암호화폐 계좌를 손에 넣는 신종 해킹 수법인 '심 스와핑(SIM Swapping)'으로 추정된다. 어떤 경로로 사용자 정보가 유출됐는지 알 길이 없고 암호화폐 거래라 범행을 추적하기가 쉽지 않은데, 국내뿐 아니라 해외에서도 이미 피해사례가 잇따르고 있다.

━

내 유심칩을 어떻게?…'심 스와핑'이란

━

유심 개통 시 필요한 본인인증 유형.

심 스와핑은 말그대로 '유심칩을 바꿔치기'하는 해킹 수법이다. 유심칩으로 불리는 SIM(가입자 식별 모듈) 카드는 각자의 고유 번호를 갖고 있어 이 카드만 꽂으면 휴대전화를 자신의 단말기처럼 활용할 수 있고, 휴대전화 가입자 인증도 가능한 점을 악용한 것이다.

심 스와핑은 국내에선 관련 용어 자체가 생소할 정도로 알려지지 않은 만큼, 그 원인에 대해 더 구체적인 조사가 필요한 상황이다. 보안업계에선 유심칩은 물리적으로 차별화한 코드가 있어 그 자체를 해킹했을 가능성은 거의 없다고 본다. 대신 해커가 개인정보를 훔쳐 새로운 유심칩을 개통한 다음, 자신의 휴대폰에 끼웠을 가능성을 거론한다. 유심칩 개통 시 본인인증에는 이름과 주민등록번호, 신용카드 또는 범용공인인증서, 주민등록증 발급일자 등을 입력해 온라인에서 개통하거나 통신사 개통센터로 전화해 바로 개통도 가능한데, 이 개인정보들이 모두 노출됐거나 상담원의 본인인증 확인 과정에서 문제가 생겼을 수 있다는 것이다. 실제로 미국에서는 해커가 통신사 직원을 매수해 본인인증절차를 제대로 거치지 않고 유심칩을 발급받아 심스와핑 범죄가 발생한 경우가 다수 있다.

일단 해커가 개통에 성공하면, 피해자의 원래 휴대폰은 유심칩이 작동하지 않는 개통 전 상태가 된다. 해커의 휴대폰에 피해자의 모든 문자와 전화통화가 수신되는 것이다. 피해자가 자신의 휴대폰이 먹통이 된 것을 깨닫고 다시 유심칩을 뺐다가 끼우면 휴대폰이 작동할 수 있으나, 해커 역시 유심칩을 다시 끼우는대로 해커의 유심칩이 재작동한다. 이 사이 해커는 은행이나 거래소에서 문자메시지로 전송하는 본인확인 인증번호를 받아 인증망을 뚫고 피해자의 암호화폐 자산을 빼돌리는 것이다.

심 스와핑은 해외에선 이미 피해사례가 적지않다. 2019년 8월 잭 도시 트위터 최고경영자(CEO)도 심 스와핑에 당해 본인 트위터 계정이 털리면서 갑자기 흑인·유대인을 지칭하는 인종차별적 속어와 '히틀러는 죄가 없다' 등의 글이 게시되기도 했다. 초기에는 이같이 SNS 해킹 등에 주로 쓰였지만, 최근에는 금전적 피해를 낳는 암호화폐 계좌 해킹으로까지 피해가 확산하는 것이다. 앞서 미국 통신사 T모바일에선 수백명의 고객이 심 스와핑 해킹 피해를 당하는 사례도 있었다. 이후 T모바일은 지난달 유심 변경 요청이 있는 경우 SMS로 기존 유심 단말에 알려야 하며 두 명 이상의 본인인증 담당 직원의 확인을 거쳐야 한다는 새로운 지침을 만들기도 했다.

━

쉬워진 본인인증…예방도 쉽지 않아

━

(서울=뉴스1) 이동해 기자 = 23일 오후 서울 종로구에 위치한 U+언택트스토어에서 한 고객이 셀프 개통패드를 체험하고 있다. LG유플러스 1호 무인매장 'U+언택트스토어'는 대리점에서 하는 모든 업무를 비대면으로 처리할 수 있다. 2021.3.23/뉴스1

최근 온라인 셀프개통 등이 활발해지면서 이 같은 범죄 노출 가능성이 커졌다는 우려도 나온다. 이전에 통신사 대리점에 직접 방문해 실물 신분증을 제출하고 이를 복사해 본인인증을 하던 때와는 달리, 지금은 온라인에서 휴대폰 인증뿐 아니라 네이버 인증 등 민간 인증 등 그 절차가 대폭 간소화됐기 때문이다.

이 때문에 통신사는 심 스와핑 해킹을 단번에 알아차리기 어렵다. 염흥열 순천향대 정보보호학과 교수는 "개인정보가 유출됐을 경우 통신사 입장에선 적절한 이용자에게 발급했다고 생각하지만 해커에게 발급됐을 경우 이를 분간하기가 어려울 수 있다"고 설명했다.

일각에서는 향후 소프트웨어형 유심칩인 e심이 도입되면 그 자체 코드가 해킹될 위험도 있다고 우려한다. 염 교수는 "물리적 형태의 유심카드는 차별화된 코드와 엄격한 접근 통제를 가지고 있어서 그 자체를 해킹하기는 매우 어렵다"며 "다만 향후 소프트웨어 형태인 e심이 확산되면 그에 따른 해킹, 보안 위협에 잘 대비해야 한다"고 밝혔다.

전문가들은 개인정보 노출이 잦은 현대사회에서 이 같은 범죄를 예방하는 것이 쉽지 않다고 말한다. 김승주 고려대 정보보호대학원 교수는 "가장 큰 문제는 이용자가 아무리 조심을 한다고 해서 예방할 수 있는 문제가 아니라는 것"이라면서 "정보가 유출될 수 있는 경우의 수가 워낙 많다보니 단편적인 방안으로는 이를 예방할 수 없는 것이 사실"이라고 설명했다. 소비자 입장에선 갑자기 잘 되던 휴대폰이 작동을 멈추거나 먹통이 되면 대수롭게 넘기지 않고 이를 통신사에 알리고 피해를 의심하는 자세를 가지는 것이 최선이다.

이 때문에 음성인식, 안면인식 등 생체인식 검사로 이중 인증을 거치는 등 별도의 조치가 필요하다는 지적도 나온다. 미국 등 해외에서는 심카드가 멀리 떨어진 다른 지역에서 이중으로 활성화가 됐을 경우 바로 정지 조치를 취하는 등 방안도 내놓고 있다.

[관련기사]☞ '평당 1억' 송지아 사는 트리마제도 수상?…누리꾼들 "해명하라"☞ '연봉 3억' 야옹이 작가, 진짜 명품 휘감은 데이트 룩 "화려해"☞ 보란듯이 성기 드러낸 男…여자들이 카메라 들이밀자 '줄행랑'☞ 트리마제 혼자 사는 '솔로지옥' 프리지아…부산 본가는 '평범'☞ 장민호, 20년 무명 버틴 건 재력가 父 덕분?…"중산층보다 못해"

김수현 기자 theksh01@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>