오늘날 스마트폰은 대표적인 인증 수단으로 쓰인다. 문자 메시지로 받은 인증번호를 이용해 회원가입을 하거나 ID와 비밀번호를 찾는다. 스마트폰에 설치된 민간 인증서는 공공기관 사이트 로그인 시 본인 확인용으로 쓰이기도 하며, 보안 강화를 위한 2차 인증 수단으로도 활용된다. 특히 금융 앱을 이용할 때도 전화번호를 ARS 인증에 사용하는 등 디지털 세상에서 서비스를 이용할 때 자신임을 밝히는 대표 수단이다. 때문에 스마트폰 잠금이 풀린 상태로 분실하면, 로그인된 온라인 서비스가 타인에게 노출되는 것은 물론, 전화번호를 통한 본인 인증도 무단으로 이뤄질 수 있다.
그런데 스마트폰을 분실하지 않고도 이러한 침해 사고가 발생할 수 있다. 공격자가 모종의 방법으로 사용자 명의를 이용해 유심(SIM)을 새로 만들고, 사용자 전화번호를 이용해 각종 인증을 마친 뒤 이메일, 디지털 결제, 소셜미디어, 온라인 쇼핑 등 다양한 서비스에 접근해 실질적인 피해를 줄 수 있다. 이른바 심 스와핑(SIM Swapping) 공격이다.
해외 사례로는 3600만 달러(약 429억원) 상당의 가상자산을 유출한 10대 청소년이 검거된 사건이 대표적이다. 캐나다 온타리오주에 거주하는 한 10대는 이동통신사를 속여 새 유심을 발급받고, 전화번호를 이용해 가상자산거래소 앱 비밀번호를 초기화한 뒤 자신의 지갑으로 이를 옮긴 것으로 알려졌다. 지난해 11월 18일, 캐나다 경찰과 미 연방수사국은 합동조사를 통해 10대 청소년을 체포했다. 캐나다 경찰에 따르면 당시 가상자산 유출 사건 중 단일 범죄자가 저지른 가장 큰 규모다.
그런데 스마트폰을 분실하지 않고도 이러한 침해 사고가 발생할 수 있다. 공격자가 모종의 방법으로 사용자 명의를 이용해 유심(SIM)을 새로 만들고, 사용자 전화번호를 이용해 각종 인증을 마친 뒤 이메일, 디지털 결제, 소셜미디어, 온라인 쇼핑 등 다양한 서비스에 접근해 실질적인 피해를 줄 수 있다. 이른바 심 스와핑(SIM Swapping) 공격이다.
해외 사례로는 3600만 달러(약 429억원) 상당의 가상자산을 유출한 10대 청소년이 검거된 사건이 대표적이다. 캐나다 온타리오주에 거주하는 한 10대는 이동통신사를 속여 새 유심을 발급받고, 전화번호를 이용해 가상자산거래소 앱 비밀번호를 초기화한 뒤 자신의 지갑으로 이를 옮긴 것으로 알려졌다. 지난해 11월 18일, 캐나다 경찰과 미 연방수사국은 합동조사를 통해 10대 청소년을 체포했다. 캐나다 경찰에 따르면 당시 가상자산 유출 사건 중 단일 범죄자가 저지른 가장 큰 규모다.
국내도 의심공격 3건 발생...경찰 수사 나서
이름도 생소한 이 공격이 최근 국내에서도 잇달아 발생하고 있다. 국내 보안 전문매체를 통해 이달 초 처음으로 알려진 사건 피해자는 지난해 말 자신도 모르는 유심기변이 발생했으며, 공격자가 자신의 전화번호를 이용해 각종 서비스 비밀번호를 찾고 로그인에 성공했다고 밝혔다.
복제 혹은 부정발급된 유심이 다른 스마트폰에 장착되면, 이동통신사 시스템은 사용자가 스마트폰을 변경한 것으로 인식한다. 이번 피해자 역시 12월 23일부터 스마트폰이 먹통이 된 것을 확인했으며, 24일에는 카카오톡이나 네이버 등의 앱이 다른 장치에서 로그인됐다는 메시지를 받았다.
피해자는 혹시나 하는 마음에 개통이력을 확인해보니 자신도 모르는 EIR 자동기변(유심기변) 이력을 확인했으며, 즉시 유심을 재발급받고 스마트폰을 초기화했다. 하지만 공격자는 이미 가상자산거래소에 로그인해 사용자가 가진 코인을 매도하고, 이더리움을 구매해 다른 지갑으로 전송한 상태였다.
이달 12일에도 유사한 사건이 발생했다. 피해 증상은 이전 사례와 마찬가지로 스마트폰 통신이 먹통이 되고, 자신도 모르게 계정 비밀번호 재설정이 이뤄졌으며, 가상자산이 유출됐다. 특히 타인의 로그인을 막기 위해 2단계 인증 기능과 타 기기 로그인 알림 기능도 적용했지만, 공격자는 전화번호를 이용한 인증으로 기능을 해지하고, 로그인 시 알리는 기능 역시 꺼버렸다. 유출된 가상자산은 약 2000만원 상당이다.
세 번째 사건은 이달 16일 일어났다. 다행히 두 차례나 보도된 사건인 만큼 피해자가 이를 빠르게 인지하고 대응했으며, 가상자산거래소도 타인의 무단접속을 인식해 계정 출금제한 상태로 전환하면서 금전적인 피해는 발생하지 않았다.
이처럼 국내 피해 사례가 잇달아 등장하고 있는 상황이지만, 아직 공격 방법이나 원인은 밝혀지지 않았다. 해외의 경우 상대적으로 본인인증 절차가 소홀한 반면, 국내에서는 동일한 번호로 새 유심을 발급받으려면 신분증이나 본인명의 신용카드(온라인) 등 인증 수단이 필요하다. 때문에 추가적인 피해 예방을 위해서는 통신사와 경찰 등이 협조해 사고 원인을 밝히고 재발방지 조치를 마련해야 한다.
복제 혹은 부정발급된 유심이 다른 스마트폰에 장착되면, 이동통신사 시스템은 사용자가 스마트폰을 변경한 것으로 인식한다. 이번 피해자 역시 12월 23일부터 스마트폰이 먹통이 된 것을 확인했으며, 24일에는 카카오톡이나 네이버 등의 앱이 다른 장치에서 로그인됐다는 메시지를 받았다.
피해자는 혹시나 하는 마음에 개통이력을 확인해보니 자신도 모르는 EIR 자동기변(유심기변) 이력을 확인했으며, 즉시 유심을 재발급받고 스마트폰을 초기화했다. 하지만 공격자는 이미 가상자산거래소에 로그인해 사용자가 가진 코인을 매도하고, 이더리움을 구매해 다른 지갑으로 전송한 상태였다.
이달 12일에도 유사한 사건이 발생했다. 피해 증상은 이전 사례와 마찬가지로 스마트폰 통신이 먹통이 되고, 자신도 모르게 계정 비밀번호 재설정이 이뤄졌으며, 가상자산이 유출됐다. 특히 타인의 로그인을 막기 위해 2단계 인증 기능과 타 기기 로그인 알림 기능도 적용했지만, 공격자는 전화번호를 이용한 인증으로 기능을 해지하고, 로그인 시 알리는 기능 역시 꺼버렸다. 유출된 가상자산은 약 2000만원 상당이다.
세 번째 사건은 이달 16일 일어났다. 다행히 두 차례나 보도된 사건인 만큼 피해자가 이를 빠르게 인지하고 대응했으며, 가상자산거래소도 타인의 무단접속을 인식해 계정 출금제한 상태로 전환하면서 금전적인 피해는 발생하지 않았다.
이처럼 국내 피해 사례가 잇달아 등장하고 있는 상황이지만, 아직 공격 방법이나 원인은 밝혀지지 않았다. 해외의 경우 상대적으로 본인인증 절차가 소홀한 반면, 국내에서는 동일한 번호로 새 유심을 발급받으려면 신분증이나 본인명의 신용카드(온라인) 등 인증 수단이 필요하다. 때문에 추가적인 피해 예방을 위해서는 통신사와 경찰 등이 협조해 사고 원인을 밝히고 재발방지 조치를 마련해야 한다.
눈 뜨고도 코 베이는 심 스와핑 공격, 어떻게 일어날까?
심 스와핑 공격은 어떻게 발생할까? 한국인터넷진흥원(KISA)에 따르면 국내 피해 사례는 현재 경찰 수사가 진행 중이기 때문에 정확히 어떤 방식이 어떻게 쓰였는지 불확실하다. 따라서 구체적인 대응책도 수사 결과가 나온 이후 마련할 수 있을 것으로 보인다.
하지만 해외에선 공격 방법이 일부 알려져 있다. 비영리 소프트웨어 재단 모질라에 따르면 해외 통신사의 본인 확인이 허술한 점과 유출된 개인정보가 복합적으로 쓰였다. 일례로 지난해 4월 페이스북에서 5억명의 계정 데이터(한국 피해자 12만명)가 유출된 사고처럼 대규모 개인정보 유출 사고가 연이어 발생하면서 공격자의 개인정보 입수가 더 쉬워졌다.
모질라가 자체 조사한 결과 다수의 서비스에서 유출된 정보를 서로 연결하고, 소셜미디어 등에 노출된 일반적인 개인정보(이름, 생일, 전화번호, 이메일 등)를 더하면 특정 개인에 대한 거의 완벽한 정보를 완성할 수 있다.
공격자는 이 정보를 이용해 유심을 재발급받는다. 가령 유심이 파손됐다거나 실수로 유심을 넣은 상태로 스마트폰을 중고거래했다고 통신사를 속인다. 본인 확인을 위해 사회보장번호 마지막 4자리를 등을 요구하면 유출된 정보를 이용해 제공할 수 있다. 이를 통해 기존 사용자를 네트워크에서 쫓아내고, 공격자가 권한을 차지하며 각종 인증을 진행하는 방식으로 자산 탈취가 이뤄졌다.
반면 국내에서는 유심 개통 과정이 상대적으로 더 철저하다. 특히 문자나 통화 내용을 중간에서 엿듣는 '복제폰'도 사실상 자취를 감춘 상태다. 유심 내 정보를 입력하는 과정은 통신사 전산망에서만 가능해서 일반적으로는 무단 복제가 어렵다. 따라서 일부 민간 보안 전문가들은 이번 공격이 개통 업무를 담당하는 대리점이 해킹됐거나 범죄에 가담했을 가능성도 열어두고 있다. 유출된 개인정보를 이용하고, 범죄자가 접근할 수 있는 불법 개통 시스템만 있다면 공격이 충분히 이뤄질 수 있는 상황이다.
스마트폰에 악성코드를 설치해 계정 정보를 유출하는 해킹과 비교하면, 심 스와핑은 상대적으로 더 큰 피해를 일으킬 수 있다. 계정 정보가 유출되더라도 스마트폰만 점유하고 있으면 타인의 로그인 시도를 파악하고 2차 인증을 통해 무단 접근을 막을 수 있다. 이와 달리 심 스와핑 공격은 사용자의 통제 권한을 완전히 빼앗는다. 5G 등 무선 네트워크는 물론 문자 메시지나 전화도 받을 수 없어 방심하고 있으면 무슨 일이 벌어지고 있는지 파악조차 할 수 없다.
아직 구체적인 대응책은 마련되지 않았지만 포괄적인 대응 방안은 있다. 우선 심 스와핑으로 의심되는 증상(전화·문자 송수신 불가, 무선 네트워크 접속 오류 등)이 나타나면 단말기를 끄지 말고 와이파이 등에 연결해 온라인 상태로 유지해야 한다. 각종 앱은 작동하기 때문에 로그인 알림 등 보안 기능을 켜놨다면 앱을 통해 무단 접근을 인지하고 대응할 수 있다. 또한 추가 피해를 막기 위해 즉시 이동통신사에 연락해 회선에 대한 일시정지 요청을 신청하는 것이 좋다.
유심에 비밀번호를 거는 유심 록은 심 스와핑 공격을 예방할 수 없다. 유심 록은 현재 자신이 보유한 유심을 비밀번호 없이 다른 사용자가 이용할 수 없게 하는 기능으로, 단말기 분실이나 도난에만 대응할 수 있다. 따라서 의심 사례가 발생하면 모든 서비스에 연락해 출금 제한 등 필요한 조치를 요청해야 한다.
하지만 해외에선 공격 방법이 일부 알려져 있다. 비영리 소프트웨어 재단 모질라에 따르면 해외 통신사의 본인 확인이 허술한 점과 유출된 개인정보가 복합적으로 쓰였다. 일례로 지난해 4월 페이스북에서 5억명의 계정 데이터(한국 피해자 12만명)가 유출된 사고처럼 대규모 개인정보 유출 사고가 연이어 발생하면서 공격자의 개인정보 입수가 더 쉬워졌다.
모질라가 자체 조사한 결과 다수의 서비스에서 유출된 정보를 서로 연결하고, 소셜미디어 등에 노출된 일반적인 개인정보(이름, 생일, 전화번호, 이메일 등)를 더하면 특정 개인에 대한 거의 완벽한 정보를 완성할 수 있다.
공격자는 이 정보를 이용해 유심을 재발급받는다. 가령 유심이 파손됐다거나 실수로 유심을 넣은 상태로 스마트폰을 중고거래했다고 통신사를 속인다. 본인 확인을 위해 사회보장번호 마지막 4자리를 등을 요구하면 유출된 정보를 이용해 제공할 수 있다. 이를 통해 기존 사용자를 네트워크에서 쫓아내고, 공격자가 권한을 차지하며 각종 인증을 진행하는 방식으로 자산 탈취가 이뤄졌다.
반면 국내에서는 유심 개통 과정이 상대적으로 더 철저하다. 특히 문자나 통화 내용을 중간에서 엿듣는 '복제폰'도 사실상 자취를 감춘 상태다. 유심 내 정보를 입력하는 과정은 통신사 전산망에서만 가능해서 일반적으로는 무단 복제가 어렵다. 따라서 일부 민간 보안 전문가들은 이번 공격이 개통 업무를 담당하는 대리점이 해킹됐거나 범죄에 가담했을 가능성도 열어두고 있다. 유출된 개인정보를 이용하고, 범죄자가 접근할 수 있는 불법 개통 시스템만 있다면 공격이 충분히 이뤄질 수 있는 상황이다.
스마트폰에 악성코드를 설치해 계정 정보를 유출하는 해킹과 비교하면, 심 스와핑은 상대적으로 더 큰 피해를 일으킬 수 있다. 계정 정보가 유출되더라도 스마트폰만 점유하고 있으면 타인의 로그인 시도를 파악하고 2차 인증을 통해 무단 접근을 막을 수 있다. 이와 달리 심 스와핑 공격은 사용자의 통제 권한을 완전히 빼앗는다. 5G 등 무선 네트워크는 물론 문자 메시지나 전화도 받을 수 없어 방심하고 있으면 무슨 일이 벌어지고 있는지 파악조차 할 수 없다.
아직 구체적인 대응책은 마련되지 않았지만 포괄적인 대응 방안은 있다. 우선 심 스와핑으로 의심되는 증상(전화·문자 송수신 불가, 무선 네트워크 접속 오류 등)이 나타나면 단말기를 끄지 말고 와이파이 등에 연결해 온라인 상태로 유지해야 한다. 각종 앱은 작동하기 때문에 로그인 알림 등 보안 기능을 켜놨다면 앱을 통해 무단 접근을 인지하고 대응할 수 있다. 또한 추가 피해를 막기 위해 즉시 이동통신사에 연락해 회선에 대한 일시정지 요청을 신청하는 것이 좋다.
유심에 비밀번호를 거는 유심 록은 심 스와핑 공격을 예방할 수 없다. 유심 록은 현재 자신이 보유한 유심을 비밀번호 없이 다른 사용자가 이용할 수 없게 하는 기능으로, 단말기 분실이나 도난에만 대응할 수 있다. 따라서 의심 사례가 발생하면 모든 서비스에 연락해 출금 제한 등 필요한 조치를 요청해야 한다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지