노컷뉴스

사람들의 디지털 정보를 이용해 자산을 호시탐탐 노리는 범죄세력의 해킹 수법이 날이 갈수록 진화하고 있죠. 특히 유심칩을 복사한 뒤 개인 금융자산을 갈취하는 '심 스와핑'(SIM Swapping) 기법이 기승을 부리면서 금융 보안 업계에 비상이 걸렸습니다.

심 스와핑은 피해자 스마트폰의 유심정보를 복제해 피해자의 개인정보 또는 은행이나 금융정보에 접근하는 신종 해킹 수법을 말합니다. 심(Subscriber Identity Module, SIM)은 스마트폰을 포함하는 개인통신단말기를 이용하는 통신서비스가입자의 개인 신원 식별 모듈입니다.

1990년대 등장한 초기 심 카드는 단순히 가입자의 식별 정보만 확인하는 용도로 사용됐지만, 3G 서비스가 보급화된 2000년 이후에는 주소록 저장, 교통카드, 신용카드 등의 부가 기능이 포함된 유심(Universal Subscriber Identity Module, USIM) 카드가 사용되고 있습니다.

새로운 스마트폰을 구입하면 기존에 사용하던 유심칩을 단말기에 장착하거나 기기에 맞는 규격의 유심칩을 구입하고 정보를 등록한 뒤 장착합니다. 그러면 단말기에서는 가입자를 식별하고 통신기능이 작동하게 됩니다.

이때 새로운 심카드를 발급했다면 기존의 심카드는 폐기하는 게 일반적입니다. 하지만 이 점을 악용해 사용자의 심카드를 무단으로 복제한 후 다른 스마트폰에 장착한다면, 피해자가 기존에 사용하던 폰에는 기기를 처음 구매했을 때처럼 통신모듈이 정지되고 가입자 식별도 불가능해집니다.

반면 무단 복제한 심카드를 장착한 폰에서는 피해자의 휴대전화 본인 인증이 가능하게 되고 이를 활용해 각종 개인정보 및 금융정보에 접근할 수 있게 됩니다. 심 스와핑 기법을 사용하는 범죄집단은 이를 활용해 피해자의 금융자산을 탈취합니다.

진화하는 해킹수법으로 인한 피해를 줄이기 위해 서비스 공급자들은 아이디와 패스워드를 활용한 로그인 시스템에 2단계 인증을 통한 보안 강화 서비스를 도입했습니다.

하지만 심 스와핑은 이를 무력화시킬 수 있습니다. 유심과 전화번호 접근 권한을 가진 해커는 본인 계정인 것처럼 비밀번호와 로그인 단계를 재설정해 우회접근할 수 있기 때문입니다.

심 스와핑의 무서운 점은 코로나로 비대면 서비스가 광범위하게 적용되고 있는 오늘날의 사이버 환경속에서 개인정보를 알고 있는 해커의 접근을 '정상적인 접근'으로 인지하게 만든다는 점입니다.

가상화폐 거래소 업비트는 최근 심 스와핑으로 의심되는 사례 11건을 발견했습니다. 다행히 11건 모두 사전에 탐지해 투자자가 피해를 입진 않았습니다.

업비트를 운영하는 두나무 관계자는 한 매체와의 인터뷰에서 "부정거래에 대비해 이상거래탐지시스템(FDS)을 고도화하고 있으며, 머신러닝을 도입해 의심되는 거래도 탐지해 피해를 예방하고 있다"고 밝혔습니다.

심 스와핑은 비단 우리나라만의 이야기는 아닙니다. 국내에선 용어조차 낯설지만 해외에선 여러차례 피해가 발생하고 있었습니다.

미국연방수사국(Federal Bureau of Investigation, FBI)은 심 스와핑이 갈수록 악용되고 있다고 경고했습니다. FBI는 지난달 8일 심 스와핑으로 인해 2018년부터 2020년까지 약 1200만 달러(약 143억 원)의 피해액이 발생했고, 2021년 한 해만 6800만 달러(약 810억 원)의 피해액이 발생했다고 밝혔습니다.

지난 2018년 캐나다에서는 10대 소년 해커가 심 스와핑으로 432억 원(4600만 캐나다 달러)가량의 가상화폐를 빼내는 범죄가 발생했습니다. 캐나다 경찰과 FBI는 1년 8개월 가량의 공조 수사 끝에 캐나다 온타리오주 해밀턴에서 체포했습니다.

이 해커는 이동통신사를 속여 새로운 유심을 발급받았고, 전화번호를 이용한 비밀번호 초기화에 성공한 뒤 자신의 전자지갑에 가상화폐를 옮긴 것으로 전해졌습니다.

유명인의 계정을 이용한 범죄도 발생했습니다. 잭 도시 트위터 CEO는 지난 2019년 8월 30일 심 스와핑에 당했는데요. 그의 트위터 계정에 30여분동안 '히틀러는 무죄' 등 비속어와 인종차별적인 게시물이 올라가기도 했습니다.

유럽정보보호원(European Union Agency for Cybersecurity)이 지난달 발간한 '심 스와핑 대응' 보고서에 따르면, 지난해 설문에 응한 유럽 22개국 48개 이동통신(MNO) 사업자 중 25곳이 심 스와핑 사고를 경험했습니다. 이들 중 6곳에선 관련 사고가 50건 이상 발생하기도 했습니다.

해커들은 자신들이 목표로 하고 있는 자산 탈취를 위해 결정적인 인증 수단을 우회해서 최단루트로 정보에 접근하려고 합니다. 리스크를 감소시키기 위해서인데요.

개인 인증을 무력화하는 심 스와핑은 어떤 목적으로 범죄를 저지르는 걸까요? 상당수의 심 스와핑 공격은 개인들의 가상화폐 탈취가 주된 목적인 것으로 나타났습니다.

가상자산 데이터 분석 플랫폼인 체이널리시스가 지난달 발표한 '2022 가상화폐 범죄보고서'에 따르면, 2021년 가상자산과 관련한 범죄 규모는 140억 달러에 이릅니다. 2020년 78억 달러와 비교해 두 배 가까이 늘어난 규모입니다.

범죄 행위 건수는 2020년보다 75% 감소했지만 가상자산 가치 상승으로 인해 실제 피해 규모는 더 커진 셈입니다.

심 스와핑 같은 새로운 방식은 다크웹 범죄 커뮤니티 등을 통해 수법이 빠르게 공유되고 있으며, 이는 국경을 넘나드는 범죄로 이어지게 됩니다.

심 스와핑 범죄가 진행되면 피해자의 단말기는 통신모듈이 정지하기 때문에 활동 중인 시간대에는 피해 사실을 금방 인지할 수 있습니다. 따라서 범죄는 주로 잠자는 시간대에 발생하는 편입니다.

범죄자들은 왜 여러가지 자산들 중 가상자산 탈취를 목표로 하는 것일까요. 대표적으로 자금세탁의 용이성을 들 수 있습니다.

'2022 가상화폐 범죄보고서' 보고서에 따르면 가상자산의 자금세탁은 매년 꾸준히 발생하고 있고 지난해 세탁된 가상자산은 86억 달러 규모인 것으로 나타났습니다. 이는 2020년 대비 약 30% 가량 증가했지만 2021년 가상자산 거래가 폭발적으로 증가한 점을 고려하면 이해할 수 있는 상승치라고 설명했습니다.

개인정보와 밀접하게 연관돼 있는 심 스와핑 피해가 지속적으로 발생함에 따라 이를 예방하기 위한 조치가 곳곳에서 소개되고 있습니다. 다양한 방법 중 자주 거론되는 예방법 2가지를 소개합니다.

첫번째는 심 카드 핀(PIN, 개인 식별 번호)을 이용하는 방법입니다. 핀을 사용하면 통신기기를 재시동하거나 심 카드를 제거할때마다 핀 번호를 입력해야 합니다.

이를 통해 다른 사람이 심 카드를 복제후 사용하는 것을 방지할 수 있습니다. 심 번호는 입력횟수가 존재하고 이를 초과할 때는 PUK(개인 잠금 해제 키)를 입력해야 하기 때문에 개인 보안 강도를 크게 높일 수 있습니다.

두번째는 앱 기반의 2단계 인증을 이용하는 것입니다. 이는 SMS 또는 스마트폰 번호가 아닌 앱을 활용한 인증기능을 사용하는 것을 말합니다.

심 스와핑으로 로그인을 시도하더라도 사용하는 앱을 설치하고 인증을 해놓은 기기에서만 인증을 할 수 있어 보안 강도를 높일 수 있습니다.

이에 더해 FBI는 소셜 미디어나 웹사이트에 자신의 신상과 투자 정보, 금융 자산 정보를 공개하지 말 것을 권고하고 있습니다. 개인이 사용하는 비밀번호는 상당수가 개인정보와 밀접한 관련이 있어 범죄세력이 유추할 수 있기 때문입니다.

또 기존 보안 방침에서도 자주 언급되는 사항인데요. e메일이나 SMS를 통해 수신된 검증되지 않은 하이퍼링크, 첨부파일은 되도록 열지 않는 것을 권장합니다.

심 스와핑은 아직 관련 수사들이 진행중인 상황으로 공식적인 대응방안이나 예방안이 발표되진 않았습니다. 다만 경찰은 지난 1일부터 10월말까지 정보통신망 침해형 범죄, 사이버 사기, 사이버 금융 범죄, 사이버 성폭력, 불법 사이버 도박 분야를 단속하고 있습니다.

하지만 심 스와핑으로 범죄세력이 공격을 한다면 이를 사전에 파악하거나 방어하긴 어렵습니다. 따라서 개인 스스로 자신의 개인정보를 보호하기 위한 노력이 필요하고 보안 실천 수칙들을 숙지해나가는 것이 어느 때보다 중요하겠습니다.