국내 심스와핑 사건 유심 기지국 정보 논쟁

올해 초에 KT 통신사에서 발생했던 심스와핑 사건에 대해서 말씀드린적이 있었는데요. 유심 정보를 복사해 다른 스마트폰 기기로 옮겨서, SMS와 같이 휴대폰 번호를 통해 인증을 받는 암호화폐 거래소에 접속하여 암호화폐를 탈취하는 사건이었습니다. 암호화폐 거래소에서 카카오톡과 같은 써드파티 로그인을 허용하는 경우가 많기에 유심을 바꿔껴서 제어권만 가져온다면, 카카오톡을 새로 설치해서 로그인하고 그대로 암호화폐 거래소에 인증을 할 수 있었죠. 그래서 오늘은 이 심스와핑 사건이 어떻게 진행되고 있는지 이후 상황에 대해서 설명드려보겠습니다.

 

유심을 복사하여 해킹하는 심스와핑 사례

이 사건이 생각보다 심각한게 첫번째 피해자가 발생한 이후 계속해서 다른 피해자가 나오고 있는 상황에다가, 30명 이상이 경찰에 피해사실을 신고했다고 합니다. 앞에서 말씀드렸듯이 심스와핑이라는 공격 자체가 스마트폰에 삽입된 유심(USIM) 칩의 정보를 그대로 복사해서 또 다른 유심을 만든 뒤에, 다른 스마트폰에 삽입해서 제어권을 뺏는 공격이죠. 이를 통신사에서는 기존 유심을 새로운 스마트폰에 장착하는.. 소위 말하는 기기변경이 이루어졌다고 판단합니다. 그러면 이전 스마트폰의 통신이 끊어지게 되는데, 피해자들이 인식하지 못하도록 새벽 시간 대에 공격이 이루어져서 피해가 더 컸던 것입니다.

대부분 피해자들이 공통적으로 경험했던 것은 아침에 일어나니 스마트폰 통신이 먹통이 되었고, 네이버와 카카오 계정의 비밀번호가 변경되어 있거나 자주 사용하는 코인 거래소에서 돈이 없어졌다는 것입니다. 결국에는 이런 공격들 자체가 비트코인과 같은 암호화폐를 노린 것으로 봐야할 것 같은데요. 처음 심스와핑 사건이 발생했을 때는 국내에 잘 알려지지 않은 범죄이다 보니 코인원에서 별 다른 조치를 취하지 않았다고 하다가, 이후에 발생한 공격에서는 이상거래 탐지를 좀 더 강화했는지 출금 제한 상태로 변경해서 피해를 예방할 수 있었다고 합니다.

피해자 몇몇은 KT에 소송을 걸었고 경찰에서도 이 사건을 계속해서 조사중인 것 같은데, 결국 쟁점은 이 사건을 심스와핑 범죄로 볼 것인가와 기기 변경이 이뤄졌을 때 유심의 기지국 정보입니다. 일단 유심 변경 측면으로 보면, 국내에서는 통신사 대리점에서 사용자에게 새 유심을 발급해주면서 기존 정보를 그대로 옮겨주는 서비스가 있죠. 그러다보니 통신사의 전산 시스템에 A라는 대리점의 B 직원이 C 고객의 유심을 새로 발급해줬다라는 정보가 남게 됩니다. 그런데 이번 사건에서는 이러한 기록이 남지 않아서 같은 유심이 2개가 되어버린 것으로 볼 수 있죠.

그런데 통신사에서는 전산상에 해킹 흔적이 없었기 때문에 이를 단순히 기기 변경으로 보고 별다른 대응을 하지 않았습니다. 그래서 피해자들은 통신사에게 기기 변경이 일어났을 당시 기지국 위치를 알려달라고 했는데요. 복사된 유심으로 기기 변경이 일어났을 당시 피해자와 공격자의 기지국 위치 정보가 다르다면, 이를 심스와핑으로 볼 수 있겠죠. 하지만 KT에서 피해자들이 요청한 기지국 정보를 타인의 개인정보가 포함되었다면서 보여주지 않으면서 문제가 되었는데요. 이에 피해자들이 개인정보분쟁조정위원회를 통해 KT에게 정보 제공을 요구했으나, 이 분쟁조정 자체가 법적 강제력이 없다보니 진행이 더딘 상황입니다.

 

[단독] 국내 심스와핑 의심 피해자 또 나와... KT 사용자 2천여만원 피해 입어

저번에 이에 대해 글을 올렸을 때 이쪽 업계에서 일하시는 분이 새로운 유심을 발급하려면 신분증과 함께 본인확인을 거쳐야하기 때문에, 국내에서 이러한 상황은 벌어질 수 없다고 알뜰폰을 개통하는 쪽에서 생긴 문제일 거라고 댓글을 달아주신 적이 있었습니다. 그런데 위의 기사를 보면 아무리 생각해도 미리 피해자의 정보를 어떠한 경로로 탈취한 것이 아니라면.. 신용카드의 RFID 정보를 복사하는 스키밍 공격과 닮아있죠. 물론 유심의 정보를 어떻게 복사를 할 수 있는가에 대한 기술적인 부분을 설명할 수 없기에 단순히 추측할 뿐이지만, 제가 생각한 시나리오가 아니길 바래봅니다. 그럼 오늘은 여기까지 말씀드리고 다음 후속 기사가 나오면 다시 쓰도록하겠습니다. 감사합니다.