[IT백과] SKT 해킹 후, 공포만 남긴 `심스와핑`

실시간
뉴스

보안

[IT백과] SKT 해킹 후, 공포만 남긴 '심스와핑'

디지털데일리 발행일 2025-04-30 09:23:55

김보민 기자

URL복사

28일 서울 시내 한 SK텔레콤 T월드 매장 앞에 유심 재고 소진을 알리는 안내문이 붙어 있다. SK텔레콤은 이날 전국 T월드 매장에서 유심 무료 교체 서비스를 진행하고 있다. [ⓒ연합뉴스]

[디지털데일리 김보민기자] SK텔레콤 해킹 사고가 알려진 이후 유심(USIM) 대란이 이어지고 있는 가운데, 민관 합동조사단의 중간 분석 결과가 나왔다. 이용자 유심 정보가 유출된 것은 맞지만, '심스와핑(SIM-Swapping)'과 같은 피해가 발생할 가능성이 낮다는 것이 핵심이다. 유출된 정보 중 단말기 고유 식별번호가 포함되지 않았다는 이유에서다.

심스와핑은 공격자가 심 정보를 무단 복제하거나 탈취한 뒤 본인인증 등을 거쳐 다른 휴대전화 기기에 이를 악용하는 방식을 뜻한다. 정보를 탈취한 이후 다른 휴대전화 기기를 통해 피해자 문자, 전화, 은행 및 가상자산 계좌 등 금융정보를 무단 이용할 수 있고 개인정보 침해뿐만 아니라 온라이상 사기 등에 악용할 가능성도 배제할 수 없다. SK텔레콤이 28일 유심 무상 교체 서비스를 재개한 이후, 온·오프라인 신청자가 몰리며 재고 부족 현상이 지속된 이유다.

보안업계에서는 심스와핑이 휴대전화 개통 및 운영 시스템을 악용한 대표적인 공격 기법이라고 보고 있다. 오늘날 온라인에서는 이용자 계정 정보·성명·생년월일 등 개인정보와 명의를 기반으로 심(SIM)에 가입하고, 이를 이동통신 단말장치로 연동한 뒤 일회용 패스워드(OTP)를 발송해 휴대전화 실제 점유 여부를 증명하는 본인인증이 이어진다. 이동통신사 또한 부정 가입 방지 시스템 등을 통해 본인 개통 여부를 확인하고 있고, 타인 명의 휴대전화를 구매해 이용하는 행위 등을 제도적으로 금지하고 있다.

휴대전화를 이용한 보안 인증이 다양한 산업 분야에 정착되면서, 공격자 또한 가치 있는 정보를 탈취하기 위해 휴대전화 점유 인증을 우회하기 위한 공격 방법을 개발하고 있다. 이동통신 단말장치로 수신된 문자메시지 등을 가로채기 위해 SIM 자체를 확보하려는 심스와핑 범죄가 등장한 배경도 여기에서 찾을 수 있다.

이번 SKT 해킹 사고로 정보기술(IT) 시스템 등 이동통신사 인프라를 해킹하는 기법이 주목을 받았지만, 전문가들은 실제 심스와핑 공격자가 개인 데이터를 취득하는 방법은 다양하다고 보고 있다. 고객을 사칭해 이동통신사 직원으로부터 개인정보를 수집하거나, 고객 정보를 받기 위해 뇌물을 제공하거나 협박하는 방식 또한 심스와핑 범죄의 일환으로 꼽힌다. 공범을 이동통신사 직원으로 투입시켜 고객 정보를 탈취하거나, 이동통신사 직원을 사칭해 고객에게 접근권한 정보를 수집하는 것 또한 경계할 기법이다.

해외에서는 심스와핑 공격 피해가 다수 포착됐다. 미국 연방수사국(FBI)에 따르면 2021년 기준 심스와핑 사건은 1611건이 접수됐다. 2018년 1월부터 2020년 11월까지 접수된 사건 접수(320건)보다 약 5배 증가한 수치다. 피해 규모는 608만달러로, 현 한화 기준으로 87억원에 달한다. 통신사 직원이 심스와핑 범죄에 섭외된 후, 자신의 권한을 악용해 공격자가 지정한 고객 전화번호를 SIM에 연동해 기소된 사례도 있다.

영국의 경우 2015년 심스와핑 신고 건수가 145건에 불과하다, 2020년 1월부터 11월까지 932건을 기록하며 증가세를 보였다. 피해자 SIM 비밀번호를 재설정해 연락처, 은행 정보, 이메일 접근권한 등을 수집한 뒤 비트코인 지갑 등에서 다액을 탈취하는 방식도 포착됐다. 이외 유럽연합(EU) 등 세계 각지에서도 심스와핑 공격 사례가 이어지고 있다.

국내에서는 심스와핑 범죄 피해가 보고되지 않다가 2021년 말 KT 정보유출 사고를 시작으로 우려가 수면 위로 떠올랐다. 이어 LG유플러스 또한 정보유출 사태를 겪었고, 이번에 SK텔레콤 해킹 사고까지 발생하면서 전반적인 보안 태세를 강화해야 하는 것이 아니냐는 목소리가 나온다. 인증 데이터 보안, 이상 단말기 변경 탐지 및 승인 절차 등을 강화해야 한다는 의견에 힘이 실리는 이유다. 지난해에는 심스와핑 범죄가 진화하고 있다는 보고도 제기됐다. 특히 심 암호화 정보와 이동통신사 단말기인증시스템(EIR)을 악용해 내부자 도움 없이 사이버 범죄를 가하고 있는 것으로 나타났다.

국내 보안업계 관계자는 "이번 SK텔레콤 해킹 사고에서 문제가 된 홈가입자서버(HSS)의 경우 가입자 위치는 물론 기기가 어느 기지국에 연결돼 있는지를 확인한다"며 "위치와 기지국이 해외로 확인될 경우 (이상행위 등 가능성을) 확인할 수 있겠지만, 심스와핑으로 복제폰이 만들어진다고 해서 연결을 임의로 끊어버리기 어려운 데다 실제 거짓 사용자인지 여부 등을 확인하기가 까다로울 것"이라고 말했다.

민관합동조사단 결과로 일단 심스와핑에 대한 공포심은 한 풀 꺾이겠지만, 정보 유출에 대한 여파가 어디까지 이를 수 있을지는 추후 확인할 부분이다. 조사단은 가입자 전화번호, 가입자식별키(IMSI) 등 유심 복제에 활용될 수 있는 정보 4종이 유출된 사실을 확인했지만, 단말기 고유식별번호(IMEI) 유출은 없다고 선을 그었다. 유출된 정보로 유심을 복제해 다른 휴대전화에 꽂아 불법적으로 사용할 가능성이 적다는 취지로, SK텔레콤 유심보호서비스 가입으로 심스와핑을 방지할 수 있다고 밝혔다.