심 스와핑

휴대폰 유심칩을 바꿔치기해 은행이나 가상자산(암호화폐) 계좌를 손에 넣는 신종 금융해킹 범죄 '심 스와핑(SIM Swapping)'이 국내에 상륙했다. 흔히 유심칩으로 불리는 '가입자식별모듈(SIM) 카드'는 고유번호가 있어서 이 카드만 꽂으면 휴대폰을 본인의 단말기처럼 활용할 수 있고, 휴대폰 가입자 인증도 가능한 점이 악용됐다.

심 스와핑은 2018년 미국 암호화폐 투자자가 미국 제1위 이동통신사업자인 AT&T를 상대로 통신사 부주의로 피해를 봤다면서 2억2400만달러 규모의 소송을 내 일반에 알려졌다.

지난해 유럽 22개국 48개 이통사 중 12곳이 유사 사고를 경험했다. 이 중 4개사에서는 관련 사고가 50건 이상 반복 발생했다.

휴대폰 유심칩을 가로채는 방법은 다양하다. 직접 빼내 복사하거나, 사용자에게 해킹용 인터넷주소를 보내 클릭을 유도한 뒤 훔칠 수 있다. 이통사나 대리점 서버를 해킹해 정보를 빼내는 것도 가능하다. 해커는 새 유심칩을 개통하고, 이를 본인 휴대폰에 끼워 피해자의 문자와 전화통화를 대신 수신한다. 은행이나 암호화폐 거래소에서 문자메시지로 전송하는 본인확인 인증번호도 해커가 고스란히 받아볼 수 있다.

20일 심 스와핑 범죄로 의심되는 피해신고 2건에 대한 경찰 수사가 진행 중이라고 한다. 피해자는 전화 먹통현상을 겪었고, 유심칩 재장착 이후 암호화폐 계좌를 털렸다. 새벽에 휴대폰을 사용하지 않는 틈을 탔으며, 통신사 시스템상 '유심기변'(기존 유심칩을 다른 휴대폰에 꽂아 사용하는 것)으로 인식돼 정상적인 거래가 이뤄졌다.

전문가들은 유심 비밀번호를 재설정하거나 잠금 설정을 하도록 권하고 있다.

사업자의 책임도 부각됐다. 미국 2위 이통사 T모바일은 유심칩 변경 요청이 있으면 SNS를 통해 기존 유심 단말기에 알리도록 지침을 바꿨다.

이제 휴대폰 유심칩 보호캠페인이라도 벌여야 할 모양이다.

joo@fnnews.com 노주석 논설실장