SIM 스와핑: 보안을 유지하기 위해 알아야 할 사항

휴대폰 번호는 은행 계좌, 이메일, 암호화폐 지갑, 소셜 피드에 대한 접근 권한을 복구할 수 있는 열쇠이기 때문에 생각보다 강력한 힘을 가지고 있습니다. 하지만 그 편리함에는 단점이 있는데, 범죄자들이 휴대폰을 직접 만지지 않고도 사용자의 번호를 탈취한 뒤 문자 메시지 인증 코드를 사용하는 로그인이나 복구 계정을 해킹할 수 있다는 점입니다. 범죄자는 비밀번호를 재설정하고, 계정에 접근하여, 사용자의 신원을 묶어둘 수 있습니다.

SIM 스와핑이라고 불리는 이 수법으로 인해 2023년 한 해에만 미국인들은 약 $4,900만의 손실을 입었습니다. 또한, 최근에는 역사상 가장 큰 규모의 암호화폐 절도 사건 중 하나가 SIM 스와핑을 통해 이루어졌다는 사실이 밝혀졌는데, FTX 암호화폐 거래소에서 $4억 상당의 자산이 도난당했습니다.

이 가이드는 SIM 스와핑이 무엇인지, 어떻게 작동하는지, 경고 신호를 어떻게 발견하는지, 그리고 가장 중요한 것은 이를 어떻게 막을 수 있는지 설명합니다. 이미 의심스러운 활동을 겪고 있든, 단순히 안전을 유지하려는 것이든, 실행 가능한 명확하고 실용적인 조언을 찾을 수 있을 것입니다.

SIM 카드란 무엇이며 어떻게 작동하나요?

SIM(가입자 식별 모듈)은 손톱 크기의 칩으로, 네트워크에 자신이 누구인지 알려주는 역할을 합니다.

1. 신원 및 위치: SIM에는 해외 모바일 가입자 식별자(IMSI)와 통합 회로 카드 식별자(ICCID)가 저장됩니다. IMSI는 네트워크에 대한 가입을 식별하고, ICCID는 SIM 카드의 고유 ID입니다. 이러한 식별자를 함께 사용하면 모바일 네트워크에서 사용자의 접속을 인증하고 관리할 수 있습니다.
2. 보안 키: SIM에는 통화, 문자 또는 데이터 세션이 시작되기 전에 모바일 네트워크에서 기기를 인증하는 데 사용되는 암호화 키가 들어 있습니다. 이 키는 SIM과 네트워크 간에 공유되는 비밀처럼 작동하여 사용자의 신원을 안전하게 증명하는 데 사용됩니다. 이 '비밀번호 교환'은 휴대폰이 네트워크와 상호 작용할 때마다 백그라운드에서 이루어지며, 인증된 장치만 모바일 서비스에 접속할 수 있도록 합니다.

유효한 SIM 프로필이 없으면 네트워크에서 통화, 문자 또는 데이터를 전송하지 않습니다. SIM 카드를 새 휴대폰으로 옮기면 신원 정보도 함께 이동합니다. eSIM을 사용하면 실제 SIM 카드 없이도 이동 통신사를 통해 새 장치로 번호를 디지털 방식으로 이전할 수 있습니다. 이렇게 쉽게 이전할 수 있다는 점이 SIM 스와핑을 획기적으로 만드는 이유입니다.

SIM 스와핑이 무엇인가요?

SIM 스왑, SIM 재킹 또는 SIM 포팅이라고도 하는 SIM 스와핑은 공격자가 이동 통신사를 속이거나 뇌물을 주고 사용자의 휴대폰 번호를 자신이 관리하는 SIM으로 이전할 때 발생합니다.

번호 이전이 완료되면 사용자의 모든 음성 통화와 문자 인증 코드가 공격자의 휴대폰으로 전송됩니다. 공격자는 이러한 일회용 비밀번호를 사용하여 비밀번호를 재설정하거나 지갑을 탈취하거나 사용자 명의로 암호화폐를 구매할 수 있습니다.

표적이 되는 데는 많은 시간이 걸리지 않습니다. 전화번호는 대부분의 사람들이 생각하는 것보다 더 많은 계정에 연결되어 있습니다. 사기범이 접근 권한을 얻으면 단순히 전화번호를 탈취하는 것이 아니라 디지털 신원을 도용하는 것입니다. 자세히 살펴봅시다.

SIM 스와핑은 어떻게 작동하나요?

공격자들은 일반적으로 4단계의 공격 패턴을 따릅니다

1. 데이터 마이닝: 공개 소셜 미디어 게시물을 스크랩하거나 피싱 이메일을 실행하거나 데이터 유출로 노출된 정보를 사용하여 생년월일, 주소, 일반적인 보안 질문에 대한 답변을 수집합니다.
2. 통신사 연락처: 데이터를 사용하여 온라인 채팅이나 콜센터 사용자로 가장하여 "휴대폰을 도난당했으니 교체용 SIM이 필요하다"고 합니다. 이 단계에서 통신사를 성공적으로 속이기 위해 신원 확인 절차를 우회하는 경우가 많으며, 이는 특히 현지 SIM 카드 등록법이 얼마나 엄격한지에 따라 국가마다 다를 수 있습니다.
3. 번호 이동: 담당자가 해당 내용을 수락하면, 사용자의 전화번호를 새 SIM 또는 eSIM 프로필로 이전하여 사용자의 기기 서비스가 중단됩니다. 이 시점부터 모든 전화와 문자는 공격자에게 전달됩니다.
4. 계정 인수: 계정이 문자 메시지 2단계 인증 (2FA)을 사용하는 경우 공격자는 해당 코드를 사용하여 비밀번호를 재설정하거나 지갑을 탈취하거나 사용자 명의로 암호화폐를 구매할 수 있습니다.

드물게는 내부자, 즉 통신사 직원이 뇌물을 받고 SIM스왑을 하는 경우도 있습니다. 어떤 방법을 쓰든 결과는 똑같습니다. 사용자의 디지털 생활은 누군가의 주머니를 거쳐 흘러갑니다.

💡Tip: 선제적으로 대응하세요. 미국에 거주하는 경우, Identity Defender 제품군의 일부인 ExpressVPN의 데이터 삭제 서비스를 사용하면 데이터 중개업체가 접근할 수 있는 개인 정보의 양을 제한하여, 공격자가 처음부터 사용자에 대한 세부 정보를 수집하기 어렵게 만듭니다.

SIM 스와핑의 피해자일 수 있는 징후

다음은 SIM 스와핑을 당했는지 확인하는 방법입니다.

갑자기 휴대폰 서비스가 끊긴 경우

가장 즉각적이고 명백한 징후는 갑작스러운 휴대폰 서비스 중단입니다. 신호가 강한 지역에서 요금도 정상적으로 납부했음에도 휴대폰에 "서비스 없음” 또는 "긴급 전화만 가능”이라고 표시됩니다. 휴대폰 재부팅으로도 해결되지 않는다면, 해당 번호가 다른 SIM 카드로 이전되었을 수 있다는 신호일 수 있습니다.

문자나 전화를 주고받을 수 없는 경우

휴대폰이 셀룰러 서비스를 잃어버린 경우, 전화를 걸거나 표준 SMS 문자를 보내거나 받을 수 없습니다. 이는 Wi-Fi에 연결되어 있든 없든 상관없이 적용됩니다. 통화 및 문자 서비스는 모바일 네트워크가 필요한데, SIM 카드 교체 시 이 네트워크가 비활성화되기 때문입니다.

은행 또는 소셜 계정에서 의심스러운 활동

SIM 스와퍼는 신속하게 움직입니다. 일단 사용자의 번호를 확보하면, SMS 기반 보안 코드에 의존하는 계정에 접근하려 시도합니다. 대량으로 도착하는 비밀번호 재설정 이메일, 낯선 기기나 위치에서 발생한 새로운 로그인 기록, 또는 본인이 실행하지 않은 송금을 경고하는 금융 알림을 목격할 수 있습니다.

번호가 새 기기에 있다는 알림을 받은 경우

일부 국가에서는 이동통신사가 "SIM 카드 교체 대기 중”과 같은 경고 메시지나 새 기기에서 전화번호가 활성화되었음을 확인하는 문자 메시지를 발송합니다. 본인이 요청하지 않은 변경 사항에 대한 이런 유형의 알림을 받았다면, 해당 번호가 공격을 받고 있을 수 있습니다. 기억하세요. 본인이 시작하지 않은 요청은 절대 승인하지 마십시오.

SIM이 교체된 경우 대처 방법

속도가 최선의 방어책입니다. 서비스 중단이나 익숙하지 않은 활동을 발견하는 즉시 다음 단계를 수행하고 진행하면서 기록을 남겨두십시오.

1. 이동 통신사에 전화하기

다른 휴대폰을 사용하여 서비스 지원팀에 연락하여 SIM 교체가 의심된다고 신고하세요. 상담원에게 새 SIM을 일시 정지하고 본인이 관리하는 SIM 또는 eSIM 프로필로 번호를 복원해 달라고 요청하세요. 날짜, 시간, 상담원 이름을 기록해 두세요.

2. 금융 정보 보호하기

다음으로 은행이나 카드 발급사에 연락하세요. 상담원과 통화 중 스와핑 사실을 설명하고 거래를 동결하며 최근 거래 내역을 확인하세요. 무단 이체를 발견하면 즉시 분쟁 절차를 시작하세요. 실시간 지출 알림을 활성화하여 새로운 결제가 놓치지 않도록 하세요.

💡Tip: 미국 사용자는 ExpressVPN의 신원 보호 서비스인, Credit Scanner를 가진 Identity Defender를 활용하여 신용 보고서를 면밀히 모니터링하여 의심스러운 신규 계정이나 활동을 감지합니다.

3. 비밀번호 재설정 및 SMS 기반 2FA에서 앱으로 전환하기

주요 이메일 계정부터 시작하여 은행, 소셜 미디어, 클라우드 서비스 순으로 진행하세요. 모든 비밀번호를 변경하고, 공격자가 가로챌 수 없는 Google Authenticator 같은 인증 앱으로 SMS 인증 코드를 대체하세요. 통신사에서 회선을 복구하면 새로운 방법으로 2단계 인증을 재활성화하여 취약점을 완전히 차단하세요.

4. 범죄 신고하기

국가 사이버범죄 전담기관에 신고하세요. 해당 사건의 참조 번호를 은행과 통신사에 공유하세요. 공식 서류는 보상 처리 및 내부 조사를 신속히 진행하는 데 도움이 됩니다.

5. 모든 단계를 추적하기

모든 통화, 티켓 번호, 약속한 조치를 기록한 다음 24시간 이내에 후속 조치를 취하여 진행 상황을 확인하세요. 명확한 타임라인은 나중에 일치하지 않은 정보를 해결하는 데 도움이 되며 문제를 적극적으로 후속 조치하고 있다는 점을 강조할 수 있습니다.

SIM 스와핑을 방지하는 방법

휴대폰 번호를 온라인 계정에 연결하지 말기

가능한 경우 전화번호를 로그인 또는 복구 방법으로 사용하지 마십시오. 대신 계정 접근 및 복구를 위해 이메일 주소나 인증 앱을 사용하세요. 이는 전화번호 탈취 피해를 입을 경우 위험을 줄여줍니다. 하지만 이메일 계정도 해킹될 수 있으며(해커들의 주요 표적이기도 함), 두 옵션 중 인증 앱이 더 강력한 선택이라는 점을 기억하세요.

다단계 인증 사용

단순한 비밀번호에만 의존하는 것을 넘어, 다단계 인증(MFA)은 계정에 추가적인 보안 계층을 더합니다.

• 인증 앱: 문자 메시지가 아닌 기기에서 코드를 생성하므로 SIM 스왑 공격에 영향을 받지 않습니다. 즉, 누군가가 내 번호를 알아내더라도2FA 인증 코드에 접속할 수 있습니다. Google 인증기, Authy 또는 Microsoft 인증기와 같은 앱이 좋은 옵션입니다
• 생체인식: 많은 기기와 앱이 현재 지문이나 얼굴 인식과 같은 생체 인증을 제공하며, 이는 강력한 기기 수준의 보안 계층을 추가하여 누군가가 사용자의 전화번호에 접근하더라도 특정 앱이나 작업에 대한 접근을 차단합니다.
• 물리적 보안 키: 유비키(YubiKey)와 같은 하드웨어 토큰은 매우 안전한 인증 방식을 제공합니다. 물리적 상호작용이 필요하며 암호화 키를 사용하기 때문에 해킹이 매우 어렵습니다. 이메일 및 금융 계정 보호에 특히 유용합니다.

통신사에 계정 비밀번호 또는 잠금 장치를 요청하기

대부분의 통신사는 계정별 특정 PIN 또는 보안 질문 설정을 허용합니다. 이는 공격자가 사용자를 사칭하기 어렵게 만듭니다.

일부 통신사는 번호 잠금 또는 계정 잠금 기능을 제공하기도 하는데, 이는 번호가 다른 SIM으로 이전되기 전에 추가 인증 단계를 추가합니다.

다른 통신사는 콜백 인증을 제공하는데, 계정 변경 시 등록된 번호로 전화를 걸어 확인합니다. 이 기능이 활성화되면 진행 중인 SIM 스왑을 차단할 수 있습니다.

계정에 알림 설정하기

많은 은행과 온라인 서비스에서는 로그인 시도, 비밀번호 변경 또는 출금 시 알림을 설정할 수 있습니다. 이를 통해 문제가 발생했을 때 조기에 경고받을 수 있습니다.

가장 민감한 계정을 정기적으로 감사하기

금융, 이메일 및 소셜 미디어 계정의 보안 설정을 확인하세요. 무단 접근의 징후를 살펴보고, 복구 방법을 업데이트하며, 로그인이나 복구에 휴대폰 번호를 사용하는 계정이 있는지 확인하세요.

온라인 안전 기본 규칙 준수하기

마지막으로, 현명한 온라인 습관은 대부분의 SIM 스왑 시도가 시작되기 전에 차단하는 것이 도움이 될 수 있습니다.

• 클릭하기 전에 일시 정지: 예상치 못한 메시지의 링크와 첨부 파일은 익숙해 보여도 건너뛰세요. 이렇게 하면 피싱 사기꾼이 스왑 요청에서 사용자를 사칭하는 데 사용하는 개인 정보를 훔치는 것을 막을 수 있습니다.
• 세부 정보를 비공개로 유지: 공개 사이트에 전화번호, 주소 또는 ID 번호를 게시하거나 공유하지 마세요. 노출되는 정보가 적을수록 사기꾼들이 통신사의 보안 검사를 통과할 수 있는 정보가 줄어듭니다.
• 모든 발신자 확인: 통신사 직원이라고 하는 사람이 전화하면, 전화를 끊고 통신사의 공식 고객센터로 직접 연락하십시오. 확인된 번호로 다시 전화하면 사회 공학적 (social engineers) 공격자가 실시간으로 서비스를 탈취하는 것을 막을 수 있습니다.
• 계정 자격 증명을 절대 넘기지 말기: 제공업체는 전화, 이메일 또는 문자로 비밀번호, PIN 또는 뱅킹 데이터를 요청하지 않습니다. 이러한 코드를 보호하면 공격자가 번호를 이전하는 데 필요한 데이터에 접근할 수 없습니다.
• 모든 곳에서 고유한 비밀번호 사용: 통신사 계정을 포함하여 각 온라인 서비스마다 별도의 로그인을 사용하면 데이터 유출로 인한 피해를 크게 줄일 수 있습니다. 한 사이트가 손상되더라도 범죄자가 사용자의 다른 민감한 계정에 자동으로 접속하지 못합니다. ExpressVPN 키와 같은 비밀번호 관리자는 비밀번호를 재사용하지 않고 강력한 비밀번호를 생성 및 저장할 수 있도록 도와줍니다.
• 앱 내 자동 완성 건너뛰기: 브라우저나 앱의 내장형 자동 완성 기능은 전용 비밀번호 관리자를 사용하는 것보다 보안성이 떨어질 수 있으므로 사용을 피하세요. 휴대폰을 분실하거나 악성코드에 감염된 경우, 저장된 자동 완성 정보가 공격자에게 손쉽게 접근할 수 있는 기회를 제공할 수 있습니다.

SIM 스왑 사기의 실제 사례 (그리고 정말 중요한 점)

SIM 스와핑은 단순한 기술적 문제가 아닌 개인에 관한 문제입니다. 많은 피해자들이 사소한 혼란으로 시작하여 눈덩이처럼 불어나 돈을 도난당하고, 평판이 훼손되며, 수 년 간의 회복 기간으로 이어집니다.

트위터 전 CEO 잭 도르시의 사례입니다. 2019년 공격자들은 SIM 스와핑으로 그의 전화번호를 알아냈습니다. 몇 분 만에 공격자들은 문자 전송 서비스로 그의 계정에서 모욕적인 트윗을 게시했습니다. 침해는 오래 지속되지 않았지만 전 세계적인 헤드라인을 장식했으며, 기술 업계 리더들조차 얼마나 취약할 수 있는지 드러냈습니다.

또는 전화번호가 탈취당한 후, $2천만 이상을 잃은 암호 화폐 투자자인 마이클 터핀의 사례입니다. 공격자는 계정 보안 장치를 우회해 그의 디지털 지갑에 접근한 뒤 모든 자금을 빼돌렸습니다. 터핀은 이후 통신사를 상대로 소송을 제기하며, 취약한 내부 통제가 도난의 문을 열었다고 주장했습니다.

이는 특별한 예가 아닙니다. SIM 스와핑은 유명 연예인부터 일반 사용자에 이르기까지 다양한 사람들을 대상으로 한 광범위한 공격과 관련이 있습니다. 공격자가 할 수 있는 일은 다음과 같습니다.

• 신원 도용: 누군가 사용자의 번호를 알아내면 온라인에서 사용자를 사칭하고, 이메일을 가로채고, 은행에 로그인하고, 비밀번호를 재설정할 수 있습니다. 또한 계정에 있는 개인 데이터를 사용하여 사용자 명의로 대출이나 신용 한도를 신청할 수도 있습니다.
• 재정적 손실: 도난당한 번호는 은행 계좌의 유출, 신용 카드 무단 신청, 심지어 암호화폐 도난으로 이어질 수 있습니다. 금융 계좌가 SMS 기반 2단계 인증에 의존하는 경우, SIM 스왑을 통해 사기꾼이 침입하는 데 필요한 정보를 정확히 얻을 수 있습니다.
• 사생활 침해: SIM 스왑에 성공하면 문자 메시지, 클라우드에 연결된 메시징 앱에 저장된 사진, 연락처 목록이 노출될 수 있습니다. 공격자는 사용자 번호를 사용하여 친구에게 메시지를 보내거나 접속 코드를 요청하거나 사용자 모르게 개인적인 대화를 엿볼 수 있습니다.
• 평판 손상: 사용자 번호를 사용하는 누군가가 소셜 미디어에 게시물을 올리거나 메시지에서 나를 사칭하거나 연락처를 사칭할 수 있습니다. 상황에 따라 인간관계가 손상되거나 경력에 영향을 미칠 수 있습니다.

SIM 스왑 공격은 가장 민감한 계정에 대한 접근 권한을 풀 수 있지만, 그 피해가 그대로 방치되어서는 안됩니다. 미국에서ExpressVPN의 Identity Defender는 이메일 주소, 비밀번호, 전화번호 등 개인 데이터가 유출되었는지 다크 웹을 모니터링합니다. SIM 스왑 후 인증 정보가 유출되면 신속한 알림을 받아 계정 보안을 강화하고, 금전적 손실을 제한하며, 장기적 피해를 줄일 수 있습니다.

최종 의견: 모바일 사기 예방하기

도난당한 휴대폰 번호는 단순히 귀찮은 문제가 아니라 디지털 생활에 위협이 됩니다. 뱅킹부터 이메일, 소셜 미디어에 이르기까지 휴대폰 번호는 거의 모든 것을 잠금 해제할 수 있습니다. 그렇기 때문에 자신을 보호하는 것이 중요합니다.

인증 앱을 사용하고, 계정 비밀번호를 설정하고, 로그인 시 휴대폰 번호를 사용하지 말고, 의심스러운 활동을 주시하세요. 예방은 몇 분이면 충분합니다. 신원 도용을 복구하는 데 몇 년이 걸릴 수 있습니다.

VPN이 SIM 스와핑을 막지는 못하지만, 특히 공용 Wi-Fi에서 온라인 활동을 보호할 수 있는 현명한 방법입니다. ExpressVPN은 트래픽을 암호화하여 강력한 개인 정보 보호 계층을 추가함으로써 연결 상태를 유지하는 동안 데이터를 안전하게 보호합니다.