문제 제기: SIM 스와핑과 피싱의 연결고리

최근 들어 SIM 스와핑(SIM Swap) 공격이 보편화되면서, 단순한 계정 유출을 넘어 휴대전화 번호 자체가 노리는 대상이 되고 있습니다. SIM 스와핑은 공격자가 통신사 서비스를 악용해 피해자의 전화번호를 자신의 SIM 카드로 이동시키는 수법입니다. 특히 이 수법이 피싱이나 기존 계정 정보 유출과 결합되면, 해커들은 사용자의 인증 수단을 통째로 탈취하여 금융사기나 계정 장악에 악용할 수 있습니다.

휴대전화 유심(SIM) 칩. SIM 스와핑 공격에서는 해커가 이 작은 칩의 정보를 복제해 같은 번호를 자신의 기기에 옮깁니다. 이렇게 되면 원래 사용자의 휴대전화는 먹통이 되고, 모든 통화와 문자메시지가 공격자의 기기로 전달됩니다. 그 결과 SMS로 이뤄지는 본인 인증 코드나 2단계 인증(2FA) 코드까지 해커에게 가로채어져, 금융계좌 이체 승인이나 계정 비밀번호 초기화 등에 악용될 수 있습니다.

그렇다면 통신사 가입자 정보(예: 전화번호, 주민등록번호, 가입자 인증키, 통화 내역 등)가 유출될 경우 어떤 경로로 피해가 발생할까요? 구체적인 시나리오는 다음과 같습니다:

1. 공격자가 다크웹 등의 경로를 통해 유출된 통신사 가입자 정보를 입수합니다. (이름, 생년월일, 전화번호, 통신사 ID/PW 등 개인식별 정보)
2. 해당 정보를 이용해 통신사 고객센터를 가장하거나 내부 시스템을 악용하여 불법적으로 유심 교체를 진행합니다. (예: 사회공학 기법으로 유심 재발급 신청 또는 통신망 해킹을 시도)
3. 유심이 공격자에게 교체/복제되는 순간 피해자의 휴대폰은 서비스가 끊기고, 공격자는 새로운 유심으로 피해자 번호로 오는 모든 문자와 전화를 수신하게 됩니다.
4. 이렇게 탈취한 문자메시지를 바탕으로 공격자는 금융 거래 승인 SMS를 가로채 대신 승인하거나, 암호화폐 지갑의 인증코드를 빼돌리고, 나아가 SNS나 이메일 계정의 비밀번호 재설정 링크를 받아내 계정을 탈취합니다. 즉, 피싱이나 기존 계정유출과 결합된 SIM 스와핑은 본인 인증 수단 자체를 훔치는 범죄로 진화하고 있는 것입니다.

실제 피해 사례 소개

실제로 SIM 스와핑과 인증정보 탈취로 이어진 범죄 사례가 국내외에서 잇따르고 있습니다. 몇 가지 대표적인 사례를 살펴보겠습니다:

• 2019년: 트위터 CEO 계정 탈취 사건 – 트위터 창업자 잭 도시(Jack Dorsey)는 SIM 스와핑 공격으로 자신의 휴대폰 번호를 탈취당해, 본인 인증을 잃었습니다. 그 결과 그의 트위터 계정이 해커에게 넘어가 인종차별적 게시글로 도배되는 일이 발생했습니다. 이 사건은 전화번호 탈취가 곧 소셜 미디어 계정 장악으로 이어질 수 있음을 보여주었습니다.
• 2018년: 미국 투자자의 암호화폐 도난 사건 – 미국의 한 암호화폐 투자자는 이동통신사 직원의 부주의를 틈타 SIM 스와핑 피해를 입고, 수천만 달러 상당의 가상자산을 탈취당했습니다. 피해자는 통신사 AT&T의 책임을 물어 약 2억 달러(한화 2천억 원대) 규모의 소송을 제기하기도 했습니다. SMS 인증에 의존한 계좌 보호의 위험성을 드러낸 사례입니다.
• 2021년: 대규모 통신사 고객 정보 악용 – 미국에서는 통신사 T-모바일의 시스템 해킹으로 수백 명의 고객 번호가 공격자에게 넘어가 SIM 스와핑에 악용되었습니다. 이로 인해 다수의 이용자가 금융 계정 해킹 등의 피해를 보았으며, 통신사 데이터 유출이 연쇄적인 범죄로 이어질 수 있음을 경고했습니다.
• 2022년: 국내 가상자산 투자자들 연쇄 피해 – 국내에서도 2022년 초 약 40건의 심 스와핑 피해 의심 사례가 수사되었습니다. 피해자들은 공통적으로 휴대전화가 갑자기 먹통이 된 후, “단말기가 변경됐다”는 통신사 알림을 받았고, 곧바로 최소 수백만 원에서 많게는 2억7천만 원 상당의 암호화폐를 도난당했습니다. 모든 피해자가 동일한 통신사 이용자였다는 점에서, 해커들이 통신사 서버를 해킹해 유심 정보를 대량 유출한 뒤 범행에 사용했을 가능성이 제기되었습니다.

이처럼 SIM 스와핑은 개별 이용자부터 기업 임직원 계정에 이르기까지 광범위한 피해를 일으키고 있습니다. 전화번호만 알아내면 각종 인증 수단을 가로채 금융 탈취나 계정 장악을 벌일 수 있다는 점에서, 사용자들의 경각심이 필요합니다.

보안 전략 제안 및 대응 방안

그렇다면 이러한 인증 정보 탈취형 공격에 대비하기 위해 어떤 보안 조치가 필요할까요? 기업과 개인이 함께 다음과 같은 대응 방안을 고려해야 합니다:

• 유심 교체 시도 모니터링: 통신사는 고객의 유심 변경 요청 시 이상 패턴을 탐지하고, 기존 사용자에게 확인 연락이나 별도 인증을 진행해야 합니다. 이용자도 통신사에서 제공하는 유심 잠금 서비스나 번호 이동 제한 서비스를 활성화해, 본인 동의 없는 유심 교체를 사전에 차단할 수 있습니다.
• SMS 인증 알림 강화: 중요한 금융계정이나 이메일, SNS 등에 로그인 또는 송금 시 SMS 인증이 시도되면 실시간 알림을 받도록 설정합니다. 만약 본인이 요청하지 않은 인증 문자나 유심 변경 알림 메시지를 받는 경우 즉각 통신사와 해당 서비스사에 신고해 추가 피해를 막아야 합니다.
• 다중 인증(MFA) 방식 고도화: SMS 이외의 더 안전한 2차 인증 수단을 도입하는 것을 권장합니다. 예를 들어 인증 앱(OTP 생성기)이나 보안키(U2F 키) 기반의 2FA는 SIM 스와핑 공격에 상대적으로 안전합니다. 기업 차원에서도 임직원 계정에 SMS 대신 모바일 OTP, 생체인증 등 복합 인증을 적용해 보안을 강화할 필요가 있습니다.

무엇보다 중요한 것은 개인정보 유출 자체를 예방하는 것입니다. 통신사 가입자 정보나 인증 관련 데이터가 한 번 유출되면 다크웹 등지에서 거래되며 악용될 우려가 큽니다. 실제로 지난 몇 년간 국내 통신사들의 고객 정보가 해커에 의해 유출되어 다크웹에 판매된 사례도 존재합니다. 따라서 다크웹 모니터링을 통해 우리 조직이나 구성원의 정보 유출 징후를 조기에 발견하는 체계를 갖춰야 합니다. 최근에는 지란지교소프트의 제로다크웹처럼 다크웹 내 유출 데이터를 실시간으로 추적하고 알려주는 솔루션도 활용할 수 있습니다. 제로다크웹은 다크웹상의 방대한 유출 정보를 자동 수집·분석하여, 기업이 미처 인지하지 못한 이메일 계정, 내부 문서, 인증 정보 유출을 신속하게 포착합니다. 이러한 솔루션의 도입으로 전방위적인 보안 관제가 가능해지며, SIM 스와핑과 같은 신종 위협에 선제적으로 대응할 수 있습니다.

결론 및 다음 단계

전화번호와 유심 칩은 더 이상 단순한 연락수단이 아니라 디지털 인증서입니다. 최악의 시나리오를 막기 위해서는 개인과 기업 모두 전화번호 및 유심 관련 보안에 경계를 늦추지 말아야 합니다.

“당신의 전화번호는 당신의 인증서입니다. 이젠 유심 정보도 보호 대상입니다.”

위와 같은 경고를 명심하고, 다크웹 모니터링 및 보안 강화 조치를 통해 선제적으로 위험을 관리해야 할 것입니다. 만약 우리 회사나 내 정보가 어디선가 유출되고 있지는 않은지 걱정된다면, 아래의 조치를 통해 바로 대응에 나서 보세요:

• 지금 제로다크웹 무료 데모를 신청하고, 혹시 다크웹에 유출된 통신정보가 없는지 직접 확인해보세요.

더 늦기 전에 대비책을 마련해 나의 전화번호와 인증권을 지켜내는 것, 그것이 현대 보안 환경에서 필수적인 과제가 되었습니다.