스마트폰 잠금이 해지된 채로 분실된다면 어떤 일들이 생길까요? 스마트폰은 이제 대표적인 신원 인증 수단으로 자리잡았습니다. 금융, 공공기관 사이트 로그인 시 혹은 계정 비밀번호 분실 시 ARS 혹은 문자메시지 등 2차 인증을 위해 스마트폰은 반드시 필요한 수단입니다. 하지만 휴대폰을 손에 쥐고 있어도 휴대폰이 해킹당할 수 있습니다. 신종 해킹수법 심 스와핑(SIM Swapping)을 통해 가능한 일입니다.

가입자 식별 모듈 카드(Subscriber Identity Module)를 뜻하는 SIM은 휴대전화 가입자를 인증하는 장치입니다. SIM카드에는 각각의 고유번호가 있으며 이동통신사에 휴대전화 개통에 필요한 모든 정보가 있기 때문에 다른 휴대전화로 변경하여 사용할 수 있습니다.

심 스와핑 해킹방법

심 스와핑은 스마트폰 유심정보를 복제하여 피해자의 금융정보 및 개인정보에 접근하는 신종 해킹 방법입니다. 유심의 정보를 복제하여 타인의 핸드폰 정보를 이동시켜 사용할 수 있게 만드는 방법으로 이를 통해 계정 비밀번호를 재설정하고 휴대폰으로 전송되는 2단계 인증을 제어하여 피해자의 수많은 계정 및 디지털 지불 시스템, SNS등에 접근할 수 있습니다.

심 스와핑에 사용되는 유심정보를 복제하는 방법으로는 개인정보를 수집한 후 통신사를 통해 유심을 재발급 받을 수 있습니다. 또는 유심칩을 빼내 직접 복사하거나 사용자에게 해킹용 인터넷 주소를 보내 클릭을 유도하여 유심 정보를 빼내는 방법도 있습니다.

심 스와핑 해킹은 통신사나 피해자가 피해 사실을 즉각 인지하기가 어렵기 때문에 대응이 어려우며, 사전에 차단하기가 어렵습니다. 스마트폰에 악성코드를 설치해 계정 정보를 유출하는 기존의 해킹은 피해자가 스마트폰을 지니고 있으면 2차 인증을 막을 수 있습니다. 하지만 심 스와핑은 문자메시지, 전화 등 사용자의 권한을 완전히 빼앗기 때문에 대처하기가 어려우며 더 큰 피해를 일으킬 수 있습니다.

심 스와핑, 실제 피해 사례는?

2018년 미국에서는 가상통화 투자자가 심 스와핑 피해에 대해 통신사 AT&T를 상대로 2억 2400만달러 규모의 소송을 걸었습니다. 미국 FBI인터넷범죄고발센터에 심 스와핑 공격과 관련된 신고 사건 중 2021년 한 해동안 접수된 건은 1611건으로 2018년 1월부터 2020년 11월까지 3년간 접수된 320건에 비해 5배 이상 증가하였습니다. 피해액 또한 2021년도에는 6800만 달러(약 810억원)으로 2018년부터 3년간 발생한 피해액 1200만 달러(약143억원)에 비해 8배 증가하였습니다.

심 스와핑은 기존에는 해외에서 주로 발생하였으나 최근에는 국내 피해 사례도 증가하고 있습니다.

KBS NEWS 채널, 유심칩 정보 복사해 가상화폐 돈 빼갔다…피해자는 모두 KT통신망 사용

2022년 2월 17일 뉴스영상입니다. 피해자는 휴대전화 단말기가 변경되었다는 문자메시지를 받은 후 누군가가 피해자의 SNS와 가상화폐 거래소 사이트에 접속했다는 사실을 확인하였습니다. 피해자는 가상화폐 거래소에 있었던 2억7천만원가량의 금액을 모두 탈취당했습니다. 경찰에서는 유심 정보를 몰래 훔치는 심 스와핑 범죄 사례가 최근 잇달아 발생했다고 하였습니다.

또한 2022년 9월부터 도입된 eSIM으로 인해 심 스와핑 수법이 더욱 진화된 형태로 발생할 것으로 경찰에서는 전망하였습니다.

※ eSIM이란 SIM카드가 단말기 내에 내장되어 있어 개통신청을 하면 QR코드를 통해 개통이 가능합니다.

심 스와핑 예방 방법

1. 심 스와핑을 예방하기 위해 SIM카드에 비밀번호를 설정할 수 있습니다. 비밀번호 설정을 통해 통신기기를 재시동하거나 SIM카드를 제거할 때마다 번호를 입력해야 합니다. SMS또는 ARS가 아닌 앱 기반의 2단계 인증을 이용할 수도 있습니다. 심 스와핑으로 로그인을 시도하더라도 앱을 설치하고 인증을 거친 기기에서만 인증이 가능하여 보안강도를 높일 수 있습니다. 

2. SMS나 이메일을 통해 출처가 불분명하고 검증되지 않은 첨부파일 및 URL은 클릭하지 않아야 합니다.

3. 심 스와핑은 새벽시간대를 이용하여 피해자가 모르는 사이에 범죄피해가 발생하는 경우가 많기 때문에 모바일 백신 프로그램을 활용한 주기적 보안검사를 실시하는 것도 예방 방법입니다.