모든 보안 조치를 철저히 하고 있다고 생각할 수 있습니다. 계정마다 이중 인증을 활성화하고 보안에 만전을 기해도 해커는 여전히 침입할 수 있습니다. 그 방법 중 하나가 바로 SIM 스와핑 공격입니다.
이 공격은 피해자에게 심각한 피해를 입히는 파괴적인 수법입니다. 다행히도 이러한 공격으로부터 자신을 보호할 방법이 있습니다. SIM 스와핑이 어떻게 이루어지는지, 그리고 우리가 취할 수 있는 예방 조치에 대해 알아보겠습니다.
SIM 스왑 공격의 실체
본래 “SIM 스와핑” 자체는 문제가 되지 않습니다. 휴대폰을 분실했을 때 통신사에 요청하여 SIM 카드를 교체하고, 기존 전화번호를 새 SIM 카드로 옮기는 것은 일반적인 서비스 절차입니다. 그러나 악의적인 해커들은 통신사를 속여 SIM 스왑을 실행하도록 만드는 방법을 알아냈습니다. 이를 통해 SMS 기반 이중 인증(2FA)으로 보호된 계정에 접근할 수 있습니다.
순식간에 당신의 전화번호는 다른 사람의 휴대폰과 연결됩니다. 결과적으로 범죄자는 당신에게 오는 모든 문자 메시지와 전화를 가로챌 수 있게 됩니다.
이중 인증은 비밀번호 유출 문제를 해결하기 위해 도입되었습니다. 많은 웹사이트가 사용자 비밀번호를 제대로 보호하지 못하고 있으며, 해싱 및 솔팅 기법을 사용하여 제3자가 비밀번호를 원본 형태로 읽는 것을 방지합니다. 설상가상으로, 많은 사용자들이 여러 사이트에서 동일한 비밀번호를 재사용하는 경향이 있습니다. 만약 하나의 사이트가 해킹당하면 공격자는 다른 플랫폼의 계정을 쉽게 공격할 수 있어 연쇄적인 피해가 발생합니다.
보안 강화를 위해 많은 서비스에서는 사용자가 로그인할 때마다 일회성 비밀번호(OTP)를 요청합니다. 이러한 OTP는 일시적으로 생성되어 한 번만 사용할 수 있고, 짧은 시간 후에는 만료됩니다. 편의성을 위해 많은 사이트에서 이러한 OTP를 문자 메시지로 전송합니다. 그러나 이러한 방식은 자체적인 위험을 내포하고 있습니다. 만약 공격자가 전화기를 훔치거나 SIM 스와핑을 통해 전화번호를 탈취할 수 있다면, 은행 계좌를 포함한 디지털 생활에 무제한으로 접근할 수 있게 됩니다.
그렇다면 SIM 스와핑 공격은 어떻게 진행될까요? 공격자가 통신사 직원을 속여 전화번호를 자신이 관리하는 SIM 카드로 이전시키는 것이 핵심입니다. 이는 전화 통화나 직접 매장 방문을 통해 이루어질 수 있습니다. 공격자는 피해자에 대한 정보를 일부 확보해야 합니다. 다행히도 소셜 미디어에는 보안 질문에 대한 단서가 되는 정보들이 많습니다. 최초 학교, 애완동물 이름, 어머니의 결혼 전 이름 등은 소셜 계정에서 쉽게 찾아낼 수 있으며, 만약 실패하면 피싱 공격을 시도할 수 있습니다.
SIM 스와핑 공격은 상당한 노력과 시간이 소요되므로 특정 개인을 표적으로 삼는 공격에 더 적합합니다. 대규모로 이러한 공격을 수행하기는 어렵지만, 브라질의 한 범죄 조직은 비교적 짧은 기간 동안 5,000명 이상의 피해자를 발생시킨 사례도 있습니다. ‘포트 아웃’ 사기는 이와 유사한 방식으로, 전화번호를 새로운 통신사로 이전하여 전화번호를 탈취하는 수법입니다.
주요 표적은 누구인가?
SIM 스와핑 공격은 상당한 노력이 필요하기 때문에, 그에 상응하는 큰 이익을 얻으려는 목적으로 행해지는 경우가 많습니다. 공격의 동기는 주로 재정적인 이득을 취하는 것입니다.
최근에는 암호화폐 거래소와 지갑이 주요 표적이 되고 있습니다. 기존 금융 서비스와 달리 비트코인 결제에는 지불 거절이 불가능하다는 점이 문제를 더 복잡하게 만듭니다. 암호화폐는 한 번 전송되면 회수할 수 없습니다. 또한 누구나 은행 등록 없이 암호화폐 지갑을 생성할 수 있습니다. 이러한 익명성은 도난당한 자금을 세탁하기에 용이한 환경을 조성합니다.
마이클 타핀이라는 비트코인 투자자는 SIM 스와핑 공격으로 1,500개의 비트코인을 잃었습니다. 이는 비트코인이 사상 최고가를 기록하기 불과 몇 주 전에 발생한 일입니다. 당시 타핀의 손실액은 2,400만 달러가 넘었습니다. ZDNet의 저널리스트 매튜 밀러도 SIM 스왑 공격의 피해자가 되었으며, 해커는 그의 은행 계좌를 이용하여 25,000달러 상당의 비트코인을 구매하려 했습니다. 다행히 은행에서 이를 제지할 수 있었지만, 해커는 밀러의 Google 및 트위터 계정을 포함한 온라인 생활 전체를 장악할 수 있었습니다.
일부 경우 SIM 스와핑 공격의 목적은 단순히 피해자를 괴롭히는 것입니다. 트위터 및 스퀘어의 창업자 잭 도시도 2019년 8월에 이 공격을 경험했습니다. 해커는 그의 계정을 탈취하여 인종차별적이고 반유대적인 글을 수백만 명의 팔로워에게 게시했습니다.
공격 징후 감지 방법
SIM 스왑 공격의 첫 번째 징후는 SIM 카드가 모든 서비스를 잃는 것입니다. 데이터를 사용한 문자나 전화, 인터넷 접속이 불가능해집니다. 때로는 전화 서비스 제공업체에서 전화번호가 새로운 SIM 카드로 이전되기 직전에 교체 알림 문자를 보낼 수도 있습니다.
매튜 밀러의 사례를 보면, “6월 10일 월요일 밤 11시 30분, 큰딸이 저를 깨웠습니다. 트위터 계정이 해킹당한 것 같다고 말했습니다. 상황은 훨씬 심각했습니다. 아이폰을 확인하니 ‘T-Mobile 경고: xxx-xxx-xxxx 번호 SIM 카드가 변경되었습니다. 동의하지 않은 변경이라면 611로 전화하세요’라는 메시지가 와 있었습니다.”
만약 이메일 계정에 접근할 수 있다면, 계정 변경 알림이나 온라인 주문 등 수상한 활동을 확인할 수 있습니다.
공격 발생 시 대응 방법
SIM 스와핑 공격을 당했다면 즉시 단호한 조치를 취하는 것이 중요합니다. 가장 먼저 은행과 신용카드 회사에 연락하여 계좌를 동결하십시오. 이렇게 하면 공격자가 사기 구매에 자금을 사용하는 것을 막을 수 있습니다. 또한 신분 도용 피해자이므로, 신용 정보 기관에 연락하여 신용 동결을 요청하는 것이 좋습니다.
다음으로는 가능한 한 많은 계정을 손상되지 않은 새로운 이메일 계정으로 이전하여 공격자보다 한발 앞서나가야 합니다. 이전 전화번호 연결을 끊고, 강력한 새 비밀번호를 설정하십시오. 제때 연락할 수 없는 계정에 대해서는 고객 서비스에 문의하십시오.
마지막으로 경찰에 신고해야 합니다. 범죄의 피해자임을 명심해야 합니다. 주택 소유자 보험 정책에는 신분 도용에 대한 보장이 포함되어 있을 수 있습니다. 경찰 보고서를 제출하면 보험 청구를 통해 일부 손실을 회복할 수 있을 것입니다.
공격 예방 방법
예방은 언제나 치료보다 중요합니다. SIM 스와핑 공격으로부터 자신을 보호하는 가장 좋은 방법은 SMS 기반 2FA를 사용하지 않는 것입니다. 다행히도 훌륭한 대안들이 있습니다.
Google Authenticator와 같은 앱 기반 인증 프로그램이나, YubiKey 또는 Google Titan Key와 같은 물리적인 인증 토큰을 사용할 수 있습니다. 만약 문자 또는 전화 기반 2FA를 꼭 사용해야 한다면 다른 용도로 사용하지 않는 전용 SIM 카드를 고려해볼 수 있습니다. 또 다른 선택 사항으로는 대부분의 국가에서 사용할 수 없는 Google 보이스 번호를 사용하는 것입니다.
앱 기반 2FA나 물리적 보안 키를 사용하더라도 일부 서비스에서는 전화번호로 전송된 문자 메시지를 통해 계정에 다시 접근할 수 있는 경우가 있습니다. Google 고급 보호와 같은 서비스는 저널리스트, 활동가, 비즈니스 리더, 정치 캠페인 팀과 같이 표적이 될 위험이 있는 사람들에게 더욱 강력한 보안을 제공합니다.