SKT 유출로 터진 심 스와핑 공포…'심 스와핑' 알아야 지킨다

SMS 인증 쓰는 순간 노출…투자자들 '보안 전환' 안 하면 당한다

해킹 사고가 발생한 SK텔레콤이 28일부터 2천300만명에 달하는 전 고객을 대상 유심 무상 교체를 실시하기로 결정했다. 사진은 25일 서울 한 SKT 대리점에서 고객들이 상담을 기다리고 있다. 연합뉴스

SK텔레콤(SKT) 고객 대상 유심(USIM) 정보 유출 사건이 발생한 이후, 사이버 범죄의 일종인 '심 스와핑(SIM Swapping)' 공격에 대한 경각심이 급격히 높아지고 있다.

특히 SMS 기반 2단계 인증(2FA)을 사용하는 가상화폐 투자자들과 금융 서비스 이용자들은 자신도 모르게 계좌를 도난당할 수 있다는 불안감에 휩싸였다.

심 스와핑은 이동통신사를 속여 피해자의 전화번호를 해커가 자신의 SIM 카드로 옮기는 수법이다. 전화번호가 탈취되면 해커는 피해자에게 전송되는 통화와 문자메시지, 특히 인증 코드를 모두 가로챌 수 있다. 이 과정을 통해 은행 계좌, 가상화폐 거래소, 이메일, 소셜 미디어 계정 등 민감한 서비스에 손쉽게 접근할 수 있다.

공격 방식은 비교적 단순하지만 치명적이다. 심스와핑을 통해 피해자는 자신의 번호를 빼앗기게 된다. 이후 해커는 피해자 명의로 수신되는 인증 문자로 금융기관이나 가상화폐 거래소 계정을 탈취할 수 있다.

이번 SKT 유출 사건이 주는 충격은 유심의 핵심 데이터까지 털렸다는 데 있다.

SKT는 4월 19일 악성코드 공격을 받아 IMSI(국제 이동 가입자 식별자), MSISDN(전화번호), 인증 키 등 보안에 민감한 정보를 외부로 유출당했다고 공식 발표했다.

IMSI와 인증 키는 통신 네트워크에서 사용자를 식별하고 인증하는 핵심 요소로, 이를 통해 해커가 심 스와핑 공격을 더욱 손쉽게 실행할 수 있게 된다.

심 스와핑 공격은 단순한 개인정보 노출을 넘어, 직접적인 금융 손실을 유발한다.

미국 연방수사국(FBI)은 2021년 한 해 동안 심 스와핑으로 약 6,800만 달러(약 680억 원) 규모의 피해가 발생했다고 보고한 바 있다.

피해는 금융 자산 탈취에 그치지 않는다. 신원 도용, 개인정보 침해, 소셜 미디어 계정 탈취 등 2차, 3차 피해로도 이어질 수 있다. 해커가 탈취한 계정으로 피해자 행세를 하며 대출을 신청하거나, 민감한 정보 유출로 인한 명예 훼손 피해가 발생할 수 있다.

심 스와핑을 예방하기 위해 전문가들은 다음과 같은 조치를 권고하고 있다.

첫째, SMS 기반 2FA 대신 인증 앱(Google Authenticator, Authy 등)이나 하드웨어 보안 키(YubiKey 등)를 사용하는 것이 중요하다. 문자메시지를 통한 인증은 심 스와핑에 취약하기 때문이다.

둘째, 이동통신사 계정에 별도의 PIN 번호를 설정해 전화번호 변경이나 유심 교체 시 추가 인증을 요구하도록 해야 한다.

셋째, 개인 정보를 소셜 미디어에 무분별하게 노출하지 않는 것이 필수적이다. 생년월일, 주소, 휴대전화 번호 등은 해커가 심 스와핑을 시도하는 데 필요한 정보로 활용될 수 있다.

또한, 이동통신사들도 강화된 신원 확인 절차를 도입해야 한다.

SIM 교체 요청 시 다중 인증(MFA) 절차를 요구하고, 고객센터 직원 대상 사회공학적 공격 대응 교육을 정기적으로 시행하는 것이 필요하다.

이번 SKT 사고 이후, SKT는 악성 코드 삭제 및 의심 장비 격리, 비정상적인 유심 변경 시도 차단 시스템 강화, 무료 유심 보호 서비스 제공 등의 조치를 실시하고 있다.

보안 전문가들은 "전화번호를 탈취당하는 순간, 그 번호로 인증하는 모든 서비스가 무너질 수 있다"며 "특히 고액의 가상화폐 자산을 보유한 이용자들은 문자 인증을 즉각 중단하고 보다 안전한 방식으로 전환해야 한다"고 강조했다.

현재까지 SKT는 유출된 정보의 악용 사례는 발견되지 않았다고 밝혔지만, 국내 최대 가입자를 보유한 국내 최대 통신사인 만큼 가상화폐 이용자들은 스스로 보안 조치를 강화하는 것이 무엇보다 시급한 상황이다