SIM 스왑 공격: 해커가 전화번호를 탈취하는 방법
휴대전화 번호는 당신의 돈을 안전하게 지켜주는 열쇠와 같습니다. 은행, 이메일, 암호화폐 거래소는 모두 당신의 신원을 확인하기 위해 휴대전화 번호를 사용하며, 보통 문자 메시지로 인증 코드를 전송합니다. SIM 스왑 공격은 이 열쇠를 탈취하여 낯선 사람에게 넘겨주는 행위입니다. 순식간에 통신 상태가 "서비스 없음"으로 바뀌는 것을 알아차릴 수 있을 뿐 아니라, 다시 연결될 때쯤이면 공격자는 이미 비밀번호를 재설정하고 계좌의 잔고를 모두 빼돌렸을 수도 있습니다. 암호화폐 보유자의 경우 피해는 더욱 심각합니다. 일단 지갑에서 코인이 빠져나가면 누구도 되찾을 수 없기 때문입니다.
이 가이드에서는 SIM 스왑 공격이 무엇인지, 단계별로 어떻게 작동하는지, 왜 암호화폐를 훔치는 데 가장 선호되는 도구가 되었는지, 그리고 실제로 이를 막을 수 있는 몇 가지 변경 사항에 대해 설명합니다.
SIM 스왑 공격이란 무엇이며 왜 효과적인가
SIM 스왑 공격은 2단계 인증의 취약점인 문자 메시지를 노리는 계정 탈취 사기입니다. SIM(가입자 식별 모듈)은 휴대전화 번호와 휴대전화를 연결하는 작은 칩입니다. SIM 스왑 공격에서 공격자는 피해자의 기기를 직접 만지지 않습니다. 대신 이동통신사를 속여 피해자의 번호를 자신이 소유한 새로운 SIM 카드로 옮기도록 합니다. 번호 이동이 완료되는 순간, 피해자에게 걸려오는 모든 전화와 문자 메시지(보안 코드 포함)는 공격자의 휴대전화로 전송됩니다.
사람들이 오해하는 부분이 바로 이겁니다. 전화 해킹도 아니고 암호화 알고리즘이 깨진 것도 아닙니다. 고객 서비스 해킹입니다. 악용되는 취약점은 통신사 직원의 실수와, 전화번호를 소유하는 것이 곧 신원을 증명한다는 잘못된 생각입니다. 전문 용어를 빼고 설명하자면, SIM 스왑은 누군가가 통신사를 속여 당신의 전화번호를 빼낸 다음, 그 번호를 이용해 당신의 모든 디지털 신원을 탈취하는 행위입니다. 보안 연구원들이 SIM 스왑 사기를 신원 도용으로 분류하는 데에는 다 이유가 있습니다. 공격자는 단순히 당신의 돈을 노리는 것이 아닙니다. 한동안 당신의 모든 디지털 신원을 장악하고, 당신이 오직 당신만의 것이라고 생각했던 평범한 휴대폰 계정을 통해 모든 정보를 빼돌립니다.
SIM 스왑 공격의 작동 방식, 단계별 설명
거의 모든 사건은 동일한 세 단계를 따르며, 고급 해킹 기술은 필요하지 않습니다. 필요한 것은 인내심과 설득력 있는 이야기입니다.
1단계: 개인 정보 수집
먼저 공격자는 당신의 프로필을 구축합니다. 다크 웹에서 판매되는 오래된 데이터 유출 자료, 개인 정보를 입력하도록 유도하는 피싱 이메일, 그리고 당신의 소셜 미디어 계정에서 개인 정보를 수집합니다. 생년월일, 반려동물 이름, 유출된 데이터베이스에서 찾은 카드 번호 뒷자리 네 자리까지 모으면, 마치 당신인 것처럼 전화 통화를 할 수 있을 만큼 충분한 개인 정보를 확보할 수 있습니다. 공개적으로 게시한 내용이 많을수록 이 단계의 비용은 줄어듭니다. 이러한 개인 정보의 대부분은 최근에 유출된 것이 아닙니다. 수년 전에 잊혀진 데이터 유출 사건에서 유출된 정보들을 공격자가 단순히 조합하여 그럴듯한 전체를 만들어내는 것입니다.
2단계: 항공사에 당신인 척 가장하기
다음으로 그들은 당신을 사칭하여 이동통신사에 연락합니다. 때로는 분실이나 고장에 대한 미리 준비된 이야기를 하며 전화를 걸기도 하고, 때로는 가짜 신분증을 들고 통신사 매장을 찾아가기도 합니다. 최악의 경우, 공격자는 통신사 직원을 매수하거나 포섭하여 전체 방어 체계를 부정직한 내부자 한 명으로 바꿔버립니다. 이것은 코딩이 아니라 사회공학적 기법이며, 지원 직원들이 고객을 최대한 친절하게 응대하고 대기열을 처리하도록 훈련받았다는 점을 이용해 성공합니다.
3단계: 교환 및 인수
통신사가 새 유심을 활성화하는 순간, 즉 전체 공격의 결정적인 순간에 실제 휴대전화는 서비스 연결이 끊깁니다. 이제 공격자는 전화번호를 장악하게 됩니다. 공격자는 사용자의 이메일이나 Exchange 계정에 접속하여 "비밀번호 찾기"를 클릭하고 재설정 코드가 전송되는 문자 메시지를 읽습니다. 이 SMS를 가로채서 비밀번호를 재설정하고 계정에 접근합니다. 이메일 계정을 탈취하면 연결된 다른 모든 계정으로 공격이 확산됩니다. 계정 전체 탈취는 몇 분 안에 이루어질 수 있으며, 대부분의 사람들은 휴대전화가 먹통이 된 이유를 알아차리기도 전에 완료됩니다.
SIM 스왑이 암호화폐 도난의 주요 수단인 이유
은행 계좌에서 돈이 빠져나갈 수 있는 공격은 많지만, 은행은 사기성 이체를 되돌릴 수 있습니다. 하지만 암호화폐는 다릅니다. 바로 그 차이점 때문에 SIM 스왑 공격이 암호화폐 금융 시장에서 그토록 치명적인 결과를 초래하는 것입니다.
SMS 2FA는 단일 실패 지점입니다.
대부분의 거래소는 여전히 사용자가 문자 메시지로 전송되는 인증 코드를 이용해 계정을 보호할 수 있도록 하고 있습니다. 이는 안전해 보이지만, 문자 메시지를 오직 본인만 수신한다는 전제에 기반하고 있다는 사실을 깨닫게 되면 생각이 달라질 것입니다. SIM 스왑은 이러한 전제를 완전히 무너뜨립니다. 인증 코드가 한 번이라도 가로채지면 로그인 정보가 초기화되고, 사용자의 안전망 역할을 해야 할 SMS 2단계 인증은 무용지물이 됩니다. 공격자는 사용자의 전화번호를 통해 비밀번호를 재설정할 수 있다면 비밀번호가 없어도 됩니다. 더 심각한 것은, 많은 거래소에서 문자 메시지를 통해 비밀번호를 잊어버렸을 때 복구할 수 있도록 허용하고 있기 때문에, 같은 수법으로 비밀번호 자체도 무력화될 수 있다는 점입니다. SMS 인증 코드는 더 이상 두 번째 잠금장치가 아닙니다. SIM 스왑이 그 열쇠를 쥐고 있는 것입니다. 심지어 기관들도 이러한 공격에 휘말립니다. 2024년에는 미국 증권거래위원회(SEC)의 X 계정이 SIM 스왑을 통해 탈취되어 가짜 비트코인 ETF 승인 게시물이 올라와 시장에 일시적인 충격을 주기도 했습니다.
애초부터 되돌릴 수 없도록 설계됨
은행은 송금을 동결하고 결제를 취소할 수 있습니다. 하지만 블록체인은 그렇지 않습니다. 공격자가 여러분의 코인을 자신이 통제하는 지갑으로 옮기면, 송금은 되돌릴 수 없고 고객 지원도 받을 수 없습니다. 이러한 불가역성은 암호화폐의 특징이지만, SIM 카드 교체와 같은 사소한 위협을 영구적인 손실로 바꾸는 요인이기도 합니다. 바로 이러한 이유로 공격자들은 암호화폐 보유자를 특별히 노립니다. 제시된 금액은 얼마나 큰 손실이 발생할 수 있는지를 보여줍니다.
| 사례 | 년도 | 양 | 어떻게 이런 일이 일어났을까? |
|---|---|---|---|
| 마이클 터핀 대 AT&T | 2018 | 2400만 달러 | 번호 이동, 암호화폐 계좌 잔액 소진 |
| FTX 파산일 강탈 | 2022 | 약 4억 달러 | 거래소 붕괴 당시 SIM 카드 교체 |
| 워싱턴 DC 비트코인 도난 사건 | 2024 | 4,100 BTC, 약 2억 6,300만 달러 | 사회공학적 기법과 SIM 카드 교체를 이용한 수사, 9건의 유죄 판결 |
| T-Mobile 중재 피해자 | 2020 | 3,300만 달러 지급 승인 | 통신사 보안 실패, 반복적인 회선 변경 |
| SEC X 계정 탈취 | 2024 | 시장을 움직이는 가짜 게시물 | 대리점 계정의 SIM 교체 |
SIM 스왑 공격은 실제로 얼마나 흔한가요?
솔직히 말하면 역설적입니다. 공격 횟수 자체는 드물지만, 피해자 한 명당 피해는 엄청나며, 공식 통계는 암호화폐 손실 규모를 크게 과소평가하고 있습니다.
먼저 보고된 총계를 살펴보세요. FBI의 인터넷 범죄 신고 센터(ICCC)는 2024년에 SIM 스와핑 관련 신고를 982건 접수했으며, 피해액은 약 2,600만 달러에 달했습니다. 이는 2022년 최고치인 약 7,260만 달러에서 감소한 수치입니다. 마이크로소프트는 신원 도용 공격 중 SIM 스와핑을 이용하는 경우는 0.3% 미만이며, 일반적인 피싱 공격에 비하면 훨씬 적다고 지적했습니다. 이러한 수치만 보면 대수롭지 않게 여길 수도 있습니다.
| 년도 | SIM 카드 교체로 인한 손실 보고 (FBI IC3) |
|---|---|
| 2022 | 7260만 달러 |
| 2023 | 4,880만 달러 |
| 2024 | 2,600만 달러 (982건의 불만 접수) |
좀 더 자세히 살펴보세요. 공식적으로 SIM 스왑 사기 피해액이 약 2,600만 달러에 달했던 해에, 워싱턴 DC에서 발생한 한 건의 사건으로 약 2억 6,300만 달러 상당의 비트코인이 거래되었고, FTX 해킹 사건 으로는 약 4억 달러가 사라졌습니다. 이 두 사건 모두 SIM 스왑 사기로 분류되지는 않는데, 수사관들이 더 광범위한 사기 또는 절도 사건으로 분류하기 때문입니다. 여기서 중요한 점은 이러한 공격이 무해하다는 것이 아닙니다. 다만 드물고, 매우 정교하며, 특히 암호화폐처럼 실제 돈을 가진 사람들을 대상으로 한다는 것입니다. 한 번의 성공이 수천 번의 실패를 만회할 만큼 큰 효과를 냅니다. 2024년에 보고된 SIM 스왑 사기 사건의 평균 피해액은 약 2만 6천 달러였으며, 이는 SIM 스왑으로 분류될 만큼 규모가 작은 사건들만을 집계한 것입니다. 수천만 달러 또는 수억 달러 규모의 대형 암호화폐 절도 사건들은 완전히 다른 범주에 속합니다.
SIM 스왑 공격의 경고 신호
일반적으로 유심 교체가 진행 중이라는 경고 메시지가 한 번 표시되고, 메시지가 전송되는 순간부터 시간이 계산되기 시작합니다. 여기서는 시간이 아니라 분 단위가 중요합니다.
가장 흔한 징후는 아주 간단합니다. 아무 이유 없이 휴대전화 서비스가 끊기는 것입니다. 배터리도 가득 차 있고, 통신사 장애도 없고, 주변 사람들은 모두 신호가 잡히는데 내 휴대전화만 갑자기 연결이 끊깁니다. 도심 한복판에서 이런 현상은 단순한 오류가 아닙니다. 아마도 위험 신호일 가능성이 높으니 주의 깊게 살펴보세요. 다른 징후들은 다른 기기에서 나타납니다. 어제 사용했던 계정에 로그인할 수 없게 되거나, 원치 않는 비밀번호 재설정 문자 메시지가 오거나, 신청하지 않은 새 유심 카드를 "확인"한다는 통신사 이메일이 오는 경우입니다. 이러한 징후들을 다른 모바일 기기에서 발견한다면 누군가 당신의 휴대전화 번호를 탈취하려 하고 있다고 생각하세요. 그 후에는 무슨 일이 있어도 신속하게 대처해야 합니다. 공격자는 이미 당신의 번호를 탈취하려 하고 있을 가능성이 높기 때문입니다.
SIM 스와핑을 방지하고 자신을 보호하는 방법
작정하고 공격하려는 범죄자가 콜센터를 상대로 사회공학적 기법을 사용하는 것을 막을 수는 없지만, 그들에게 당신의 번호가 무용지물이 되도록 만들 수는 있습니다. 단 하나의 변화가 다른 모든 변화보다 훨씬 더 중요합니다.
SMS 할인 받으세요
무엇보다 중요한 한 가지 조치가 있습니다. 소중한 정보를 인증할 때 문자 메시지를 두 번째 인증 수단으로 사용하는 것을 중단하세요. 모든 거래소, 은행, 이메일 로그인 정보를 인증 앱으로 옮기거나, 더 나아가 공격자가 직접 훔쳐야만 접근할 수 있는 하드웨어 보안 키로 교체하세요. 이는 더 이상 소수의 우려에 그치는 것이 아닙니다. 2024년 말 FBI와 CISA는 문자 메시지 인증 코드 사용을 전면 중단하라고 권고했으며, NIST의 최신 연방 신원 확인 규정에서도 중요한 계정에 문자 메시지를 사용하는 것은 더 이상 안전하지 않다고 명시하고 있습니다. 문자 메시지 인증만 제공하는 서비스라면, 중요한 정보는 앱이나 하드웨어 키를 지원하는 곳에 맡기세요. 이유는 간단합니다. 인증 코드는 오직 사용자의 기기에만 저장됩니다. 하드웨어 키는 복사하거나 전화로 빼낼 수 없습니다. 또한, 전화번호가 도난당하더라도 인증 코드는 함께 이동하지 않으므로, 결국 아무런 기능도 하지 않는 번호를 탈취당하게 됩니다.
이동통신사와 당신의 발자국을 잠그세요
다음으로 번호 자체를 강화하세요. 통신사에 SIM PIN을 설정하거나 번호 이동 잠금 기능을 추가하여 해당 번호 없이는 번호 변경이 불가능하도록 하세요. 버라이즌의 SIM 보호 기능처럼 많은 통신사에서 무료로 이 기능을 제공하고 있으며, 사용자가 직접 해제할 때까지 번호 변경을 차단합니다. 강력하고 고유한 비밀번호를 사용하고 비밀번호 관리자를 활용하여 단 한 번의 데이터 유출로 모든 정보가 유출되는 것을 방지하세요. 또한 암호화폐 보유량을 공개적으로 자랑하는 것을 삼가세요. 공격자들은 공개적으로 자랑하는 사람을 공격 대상으로 삼기 때문입니다. 조용히 보유량을 드러내는 지갑이 그렇지 않은 지갑보다 훨씬 안전합니다.
SIM 스왑 피해를 입었을 경우 대처 방법
SIM 스왑 사기의 피해 규모는 속도에 따라 결정되므로, 순서대로 조치를 취해야 합니다. 먼저 다른 휴대폰으로 통신사에 전화하여 SIM 탈취 사실을 신고하고 본인 명의의 번호를 되찾으세요. 다음으로, 신뢰할 수 있는 기기를 사용하여 이메일과 거래소 계정의 비밀번호를 재설정하고 모든 계정에서 SMS 2단계 인증을 해제하세요. 암호화폐를 보유하고 있다면 거래소에서 출금을 동결하고, 가능하다면 자금을 다른 곳으로 옮기세요. 모든 상황을 기록하고 FBI 인터넷 범죄 신고 센터(ICCC)와 FTC에 신고하세요. 이러한 조치들이 이미 발생한 피해를 되돌릴 수는 없지만, 진행 중인 공격을 막고 계정 탈취가 확산되기 전에 차단할 수 있습니다.
SIM 스왑 공격은 가장 취약한 부분을 노립니다.
SIM 스왑 공격은 단순히 보안을 뚫는 것이 아니라, 통신 회사의 허점을 이용해 우회하는 것입니다. 통신 회사는 애초에 사용자의 돈을 보호하기 위해 만들어진 회사가 아니었습니다. 전화번호는 신분증 역할을 하도록 설계된 것이 아니지만, 우리는 모든 중요한 정보에 전화번호를 연결해 놓았습니다. 돈이 저장된 모든 기기의 경우, 안전한 해결책은 간단합니다. SMS 2단계 인증은 이미 무력화되었다고 보고, 통신 두절 사태가 발생하기 전에 지금 당장 앱이나 하드웨어 키로 전환하는 것이 좋습니다. 이 해결책은 간단하고 완벽하며, 10분 정도면 충분합니다. 따라서 중요한 질문은 이것입니다. 만약 지금 당장 휴대전화 통신이 두절된다면, 복구되기 전에 낯선 사람이 얼마나 많은 돈을 빼낼 수 있을까요?
