심 스와핑의 공격 방식과 예방법

안녕하세요 여러분, Chaning입니다.

오랜만에 가지고 온 주제는 심 스와핑(SIM Swapping)입니다.

해외에서는 SIM 카드, 국내에서는 유심(USIM)이라고 부르는 것이 익숙하실텐데요.

FBI에 따르면 2018년부터 2020년 사이에 접수된 심 스와핑 공격 관련 신고 사건이 320건에서 2021년 한 해만 1611건으로 5배 이상 증가했다고 합니다.

국내에서도 올해 1월부터 심 스와핑 의심 사례가 발생하기 시작하더니 2월이 되자 경찰은 약 40건의 심 스와핑 의심 사례를 수사중이라고 밝혔습니다.

여러분들도 각별히 주의하셔야겠죠?

그럼 심 스와핑에 대해 알아보기에 앞서 간단하게 용어를 정리하고 넘어가겠습니다.

SIM(Subscriber Identity Module)

직역하면 ‘가입자 인증 모듈’입니다. 통신사에서는 회선 가입자들의 식별 정보를 IC 카드 형태의 SIM 카드에 저장하여 정상 사용자인지 판별합니다. 이에 더해 기능의 향상과 교통카드, 주소록 저장, 신용카드 등의 부가 기능이 추가된 SIM 카드를 USIM이라고 합니다.

SIM 카드

SIM 카드는 휴대전화의 성능 향상으로 인해 단말기에 저장되는 정보가 많아지면서 휴대전화를 바꿀 때마다 개인 정보를 옮겨야 하는 수고를 덜어주었습니다.

하지만 개인 정보가 담겼다는 소식을 들으면 입꼬리가 사-악 올라가는 것들이 있죠?

그것들이 무슨 일을 꾸미는지, 어떻게 탈압박하는지 알아보겠습니다.

❗아래부터는 SIM 카드를 유심으로 통일해서 부르겠습니다.

심 스와핑(SIM Swapping)

해커가 피해자의 유심을 복제하여 휴대전화에 꽂아 정상적으로 본인 인증을 받고 금융 자산을 탈취하는 방법입니다. 심 스와핑 범죄를 통신사에서 알아차리기 어려운 이유는 기기 변경이 일어난 것처럼 보이기 때문입니다. 자급제 휴대전화의 사용이 많아지면서 통신사에서는 심 스와핑인지 아닌지 판별하기 더 어려워졌습니다.

금융 자산이라면 은행 어플만 문제일까요?(❗물론 은행 어플도 위험합니다❗)

아닙니다.

해커들이 노리는 것은 주로 가상화폐입니다. 은행과 달리 가상화폐는 자금의 추적이 쉽지 않기 때문에 돈 세탁에도 용이하기 때문입니다. 그렇다면 유심이 탈취당하는 시나리오를 알아보겠습니다.

해커의 시선 — 방법 및 탈취 경로

1. 이메일 피싱, 스미싱, 악성 앱 설치 유도, 크리덴셜 스터핑 등 다양한 경로로 수집한 개인정보를 이용하여 유심을 새로 개통하거나 기존 유심칩을 복제합니다.
2. 피해자의 은행 앱, 가상화폐 앱에서 휴대전화 인증을 사용하는 계정의 비밀번호를 재설정합니다.
3. 재설정한 비밀번호로 피해자의 금융 자산을 해커의 계좌나 지갑으로 송금합니다.

개인정보 및 금융정보의 유출을 막기위해 규모가 큰 웹 사이트에서는 2차 인증을 필수로 요구합니다. 하지만 대부분의 2차 인증은 휴대전화로 온 메시지나 알림을 통해 진행되기 때문에 심 스와핑은 이를 무력화할 수 있습니다.

피해자의 시선 — 증상

1. 자고 일어나니 새벽 동안 휴대전화 화면에 비밀번호 변경 알림, 출금 알림 팝업이 떠있고 ‘신호 없음’이라는 문구에 가슴이 철렁 내려 앉습니다.
2. 휴대전화가 먹통이 되어 급하게 통신사에 전화를 걸어보지만 일요일에는 유심 개통이 불가능하다는 답변만 돌아옵니다.
3. 이미 출금된 계좌를 보며 경찰서로 달려갑니다.

국내 대부분의 사례가 이런 방식입니다. 주말 기간 그리고 새벽 시간에 통신사의 빠른 대처가 어렵다는 점을 노리고 일어납니다. 물론 가상화폐 거래소의 보안 기술을 통해 거액의 출금을 막는 경우도 있었지만 적게는 수백만원에서 많게는 2억 7천만원 규모의 피해를 입었습니다.

만약, 갑자기 휴대전화가 먹통이 되는 증상이 생긴다면 은행과 가상화폐 거래소에 연락해서 출금을 막고 통신사와 경찰에 연락을 취하는 것이 추가 피해를 막는 방법입니다.

예방법

유심에 PIN 번호로 잠금을 설정하여 다른 기기에 연결시 비밀번호를 입력하도록 만들어 놓으면 피해를 줄일 수 있습니다.

1️⃣ 유심 잠금 설정하기(PIN 번호)

1. 삼성

유심 잠금 설정 방법: 설정→ 생체 인식 및 보안→ SIM 카드 잠금 설정→ USIM 카드 잠금 설정→ USIM 카드 비밀번호 입력 → 확인 (초기 비밀번호 0000)

다른 유심 사용 제한: 설정→ 생체 인식 및 보안→ SIM 카드 잠금 설정→ 다른 USIM 사용 제한→ USIM 카드 비밀번호 입력 → 확인 (초기 비밀번호 00000000, 0이 8개)

2. 애플

아이폰: 설정 → 셀룰러 → SIM PIN

아이패드: 설정 → 모바일 데이터 → SIM PIN

❗ PIN 번호는 생년월일, 전화번호 등 예측하기 쉬운 번호를 피합니다.

2️⃣ 유심 분실 시 곧바로 이동통신사에 신고하기: 주운 유심을 복제할 수도 있으니 곧바로 분실신고를 해야합니다.

만약, 유심의 PIN 번호를 3회 이상 잘못 입력한 경우 이를 초기화 할 수 있는 비밀번호인 PUK가 필요합니다.

• 유심 발급시 같이 제공하는 플라스틱에서 PUK 번호 확인하기
• 통신사별 PUK 번호 확인 방법

SKT: SKT 홈페이지 접속 → 로그인 → 우측 상단 ‘my T’ → 나의 가입 정보 → PUK 번호 조회

KT: KT 홈페이지 접속 → 검색창(상단 돋보기 모양) → PUK 검색

LG U+: LG U+ 홈페이지 접속 → 로그인 → 내 정보 관리 → 가입 서비스 조회 및 변경 → 내 가입 정보 → 모바일 자세히 보기 → 휴대폰 가입 정보 → 유심 잠금 해제 번호(PUK) 조회하기 (범용공인인증서 or 아이핀 필요)

PUK 번호를 10회 틀릴 경우 유심이 자동 폐기되어 쓸 수 없게 되므로, 통신사 대리점에서 유심을 새로 구매해야 합니다.

순서를 정리해볼까요?

1. 유심의 비밀번호 = PIN 번호입니다.
2. PIN 번호를 3번 이상 잘못 입력하면 PUK 번호가 필요합니다.
3. PUK 번호는 유심 발급시 유심 발급 카드에 붙어있는 플라스틱에 써있습니다. 만약에 버렸다면 통신사 홈페이지에서 확인이 가능합니다.
4. PUK 번호를 10번 잘못 입력하면 새 유심을 구매합니다.

오늘 게시글 읽으신 분들은 핀삼푹십(PIN 3회, PUK 10회) 잘못 입력하시는 일 없었으면 합니다!

개인정보의 유출은 이미 많이 일어난 상태입니다. 만약 물리적으로 얻어낸 유심을 복제하는 것이 아닌 개인정보를 이용해 새로 발급받는 경우에는 위와 같은 방법이 예방책이 될 수 없습니다.

그래도 막을 방법이 하나라도 있다면 해놓는 것이 좋겠죠?

휴대전화의 기능과 역할이 커짐에 따라 담고 있는 정보 또한 중요하고 개인적인 내용으로 채워지고 있습니다. 미 FBI에서는 심 스와핑 공격의 예방을 위해 소셜 미디어나, 웹 사이트에 자신의 신상과 투자 정보, 금융 자산 정보를 공개하지 말 것을 권고하고 있는데요. 개인의 비밀번호가 개인정보과 연관이 있는 경우가 많기 때문이라고 합니다.

과하게 디테일한 정보는 공유하지 않는 것이 좋겠네요!

하루 빨리 수사가 진행되고 이와 관련된 대책이 마련되길 바라면서 오늘 포스팅 마치겠습니다.

읽어주셔서 감사합니다.

Chaning이었습니다. (빠이!)