'2021년 1611건, 총 피해액 6800만 달러(한화 약 810억 원), 지난 3년 동안의 신고건보다 5배 이상 증가', '2021년 12월 23일 국내 첫 심 스와핑 피해자 발생', '트위터 CEO도 털렸다'...
오늘은 최근에 이슈가 되고 있는 심 스와핑(SIM Swapping) 해킹 사건에 관해서 다뤄보도록 하겠습니다.
먼저 심 스와핑을 설명하기 앞서, 심 클로닝에 대해서 간단히 소개하고 넘어가겠습니다.
심 클로닝(SIM Cloning)
심 클로닝은 말 그대로 심을 클론, 즉 복제한다는 말입니다. 여기서의 심은 유니버셜 심(Universal SIM), 유심칩을 의미합니다. 쉽게 말해 스마트폰에 꽂혀있는 '통신카드'라고 보면 됩니다.
만약 공격자(해커)가 하나의 유심칩을 준비해서 거기에다가 피해자의 유심칩 정보를 복사하면 어떤 일이 발생할까?
피해자 번호를 가진 유심칩이 두 개가 생기는 것입니다. 해커는 복제된 유심칩을 사용하여 피해자의 번호로 전화하고 문자를 보낼 수 있으며, 또한 피해자한테 걸려온 전화나 문자도 받을 수 있게 되는 것입니다.
피해자의 번호를 가지고 위조 전화하거나 문자를 보내는 것도 문제지만 이보다 더 큰 문제가 존재합니다. 바로 공격자가 마음대로 피해자의 '2차 인증'을 활용할 수 있다는 점입니다.
최근 SNS, 이메일, 은행 등 대부분의 웹서비스들은 사용자의 전화번호 기반으로 아이디를 만듭니다. 또한 아이디 찾기와 비밀번호 찾기 기능도 전화번호를 활용해서 쉽게 진행할 수 있습니다. 만약 공격자가 피해자의 유심칩을 복제할 수 있게 된다면 어마어마한 재산 피해를 초래할 수도 있다는 것입니다.
심 클로닝은 공격자가 물리적으로 피해자의 유심칩을 획득해서 복제해야 이룰 수 있는 공격입니다. 보통 피해자가 누군가에게 스마트폰을 맡길 때, 예를 들면 카페에 가서 충전해달라고 부탁하거나 서비스센터에 맡겼을 때에 발생할 수 있습니다. 이에 반해 심 스와핑은 피해자의 유심칩을 가지고 있지 않고도 공격할 수 있는 해킹기법입니다.
심 스와핑(SIM Swapping)
심 스와핑이란 공격자가 유심칩을 하나 구비해서 피해자로 위장하여 통신사 고객센터에 심카드 이전을 요청합니다. 예를 들면 '원래 가지고 있던 심카드를 잃어버려서 새로운 심카드를 발급했는데 이쪽으로 개통 좀 해주세요'와 같은 수법을 통해 피해자의 유심칩을 복제해옵니다. 물론 개인인증 확인 절차가 거치게 되겠지만 유능한 해커는 이러한 신상정보(이름, 주민등록번호 등)를 획득하는 것도 역시 그리 어려운 일이 아닙니다. 만약 공격자가 성공적으로 피해자의 유심칩 정보를 복제해온다면 위에 언급한 것과 같이 피해자의 더 많은 신상 정보를 탈취할 수 있게 되며, 피해자의 디지털 자산도 탈취할 수 있습니다.
이어서 심 스와핑과 심 클로닝에 대한 예방법을 소개하겠습니다.
대응 방안 및 예방법
사용자는 유심칩에 핀 번호를 설정하여 이 해킹 기법에 쉽게 대응할 수 있습니다.
아이폰을 사용하는 유저는 설정 -> 셀룰러 -> SIM PIN에 들어가서 핀 번호를 설정할 수 있습니다. 초기 비밀번호는 0000입니다.
안드로이드를 사용하는 유저는 제각각 다를 수 있지만 삼성 스마트폰을 기준으로 설명하자면, 설정 -> 생체 인식 및 보안 -> 기타 보안 설정에 들어가서 핀 번호를 설정할 수 있습니다. 초기 비밀번호도 0000입니다.
또한 만약 어느날 갑자기 스마트폰의 통신이 잘 안되는 경우(엘리베이터나 지하철 말고 평상시에 통신이 잘되는 곳이었는데 갑자기 통신이 안되는 경우)가 발생하면 즉시 본인의 통신사 고객센터에 연락해서 문의를 해서 조치를 취해야 합니다. 조금이라도 늦으면 어마어마한 금전적인 피해를 입을 수도 있습니다.
마지막으로 본인의 신상정보를 요구하는 사이트 등을 신뢰할 만한 사이트인지 해커가 만든 피싱 사이트(가짜 사이트)인지 신중히 검토하고 본인의 신상정보를 기입해야 합니다. 되도록이면 본인이 제공할 수 있는 개인정보의 최소치만 제공하는 것이 해킹 대응에 있어 가장 좋습니다.
