심 해킹으로 계정, 가상화폐 탈취

심 해킹(SIM hacking)은 심 스와핑(SIM swapping), 심 하이재킹(SIM hijacking), 포트아웃 스캠(port out scam)으로도 불리며, 타인의 휴대폰 번호를 훔치는 것이다. 통신사의 고객지원 부서를 속여, 피해자 몰래 해커의 폰으로 유심 기변을 하는 것과 같다. 해커가 피해자의 번호로 피해자 행세를 하게 되는 것이다.

휴대폰 번호는 본인 인증, 2단계 인증 등 주요 인증 수단이므로, 이를 탈취하면 연결된 각종 계정의 암호를 재설정하여 계정을 완전히 장악할 수 있다.

최근 해외에선 이런 사건이 빈발하고 있다. 한 피해자는 심 해킹으로 아마존, 이베이, 페이팔, 넷플릭스 등 주요 계정을 몽땅 털렸다고 한다. 최근 체포된 조엘 오티즈는 심 해킹으로 다수의 SNS 계정을 훔쳐 암시장에 팔고, 40여 명으로부터 약 500만 달러 상당의 가상화폐를 빼내기도 했다.

심 해킹은 통신사의 고객지원 부서를 속이는 것이므로, 통신사가 서비스에 중요한 변경을 할 때는 본인 확인을 철저하게 하는 수밖에 없다. 그런데 무수한 사이트 해킹, 사업자의 악의적인 혹은 무개념한 관리로 인한 유출 등으로 개인정보가 공공재가 되버린 상황에서 현실적인 어려움도 있다. 미국의 주요 통신사들은 서비스 변경을 위해 별도로 암호를 설정할 수 있게 하는 등 계정 보안을 강화했다. 우리 통신사들은 어떤지 모르겠다.

그리고 심 해킹을 당하면 피해자의 핸드폰은 유심(USIM) 등록이 해제되어 불통 상태가 되므로, 이유 없는 불통 발생시 즉시 신고해야 피해를 줄일 수 있다. 미국의 한 AT&T 고객은 핸드폰이 불통이 된 걸 발견하자마자 매장으로 달려갔지만 이미 150만 달러 어치의 가상화폐가 사라진 후였다고 한다.

그런데 미국에선 심 스와핑에 내부자(통신사 직원)와 결탁하는 경우가 종종 있다. 이런 경우에는 해커가 목적을 달성한 후에 재빨리 원상회복 시킬 수 있어, 피해자가 눈치채기가 더 어렵다. 통신사들은 내부통제 수단이 있지만 쉽게 우회할 수 있다고 한다.

또 하나, 2단계 인증 수단으로 SMS보다는 전용 인증 앱을 이용하는 것이 좋다. SMS는 전화번호에 100% 의존하는 반면, 인증 앱은 스마트폰의 보안영역을 활용하기 때문이다. 구글 OPT, 마이크로소프트 Authenticator, 네이버 OTP, U+인증 등이 그 예다.


참고 자료

1. How to Protect Yourself From SIM Swapping Hacks
2. 심 스와핑 통해 수백만 암호화폐 훔쳐낸 20대, 공항서 검거 
3. How Criminals Recruit Telecom Employees to Help Them Hijack SIM Cards