폰이 분명 내 손에 있는데, 누군가 가로챘다…심 스와핑 발칵

 

흔히 유심칩으로 불리는 가입자 식별 모듈 카드

(SIM Card, Subscriber Identity Module)는 휴대전화에 꽂아 쓰는 일종의

스마트카드입니다. 유심칩은 가입자를 인증하는 장치로 정상 사용을 위해서

사용자를 판별합니다. 유심칩에는 고유 번호가 있고, 이동통신사에 휴대전화

개통을 위해 필요한 정보가 모두 다 있기 때문에 다른 휴대전화로

바꿔 꽂아도 사용할 수 있습니다.

본래 유심칩 인증은 가입자만 가능하기에 보안성이 높습니다.

문제는 이러한 인증 절차가 뚫려 같은 고유 번호의 유심칩을 누군가 마음대로

재발행할 수 있게 됐다는 것입니다. 이 같은 방식을 '심 스와핑(SIM Swapping)'이라

일컫습니다. 신종 해킹 위협이 된 것이죠.

 

 

누군가 유심칩을 복제할 때 문자 메시지와 전화를 대신 수신할 수 있습니다.

요즘엔 개인 인증을 휴대전화로 하는 경우가 많은데 심 스와핑을 통해 이를

가로채는 것입니다. 이렇게 되면 휴대전화 소액 결제는 물론 개인

은행 계좌를 손에 넣을 수 있습니다.

신종 해킹 방식은 지금까지 해외에서 종종 발생했습니다. 미국의 한 사용자는

심 스와핑으로 인해 2380만 달러의 암호화폐를 도난당했다며 이동통신사인

AT&T에 도난당한 피해액의 10배에 달하는 소송을 제기하기도 했습니다.

당시 AT&T 대리점 직원이 심 스와핑을 도왔던 정황이 밝혀졌기 때문입니다.

 

최근 국내에서도 이런 사례가 발생했습니다. 올해 초 총 3건의 심 스와핑 피해

사례가 발생했는데, 피해자는 자신도 모르는 사이에 유심칩을 도난당했습니다.

누군가 휴대전화로 여러 서비스의 비밀번호를 재발급하고 암호화폐를 마음대로

인출해 버린 것입니다.

 

심 스와핑은 개인 정보 보호 부실 때문

 

주의해야 할 점은 누군가 심 스와핑을 할 때 실질적으로 이를 사전에

차단할 방법이 별로 없다는 점입니다.

심 스와핑이 발생하는 방식은 현재까지 알려진 바로는 개인 정보를 통한

재발급입니다. 유심칩을 복제하는 방식은 누군가 물리적으로 복제해야 하므로

어렵습니다. 국내의 경우 유심 정보를 입력하고 관리하는 주체는 이동통신사입니다.

자체 전산망에서만 진행하기 때문에 개인이 유심칩을 마음대로 복제하거나

재발급하기는 어렵습니다.

해외 사례를 살펴보면 주로 개인 정보를 많이 수집한 경우에 한해서 심 스와핑이

왕왕 발생하는 것으로 알려져 있습니다. 소셜 미디어에 공개한 이메일, 생일 등

개인 정보와 다른 인터넷 공간에서 공개된 정보가 더해지면 한 사람의 정보를

모으는 것이 아주 불가능한 일은 아닙니다. 사용자를 가장해 이동통신사에

연락하고 자신의 신원을 인증한 후 유심칩을 재발급받는 것입니다.

비밀번호나 보안 질문을 비롯한 정보를 가진 경우 신원 인증 절차를

통과할 수 있습니다. 이러한 과정을 사전에 개인이 스스로 막을 수 있을

확률은 낮습니다. 대부분 사건이 발생하고 이를 인지하기 때문입니다.

 

 

앞으로 심 스와핑이 더 극성을 부릴 수 있는 이유는 개인 데이터 유출

사건이 계속되고 있기 때문입니다. 지난 몇 년 동안 발생한 개인 데이터

침해 및 정보 유출 사건은 수십 건이 넘습니다. 지난해 4월 페이스북에서

유출한 데이터는 5억 개가 넘는 계정에 해당합니다.

국내에서도 여러 온라인 서비스에서 개인 정보 유출 사건이 종종 발생하고

있습니다. 이러한 정보들이 모이고 정리되면 개인을 향한

심 스와핑 공격은 누구라도 당할 수 있습니다.

 

 

https://www.joongang.co.kr/article/25091396

폰이 분명 내 손에 있는데, 누군가 가로챘다…심 스와핑 발칵 [트랜D]