심 스와핑(SIM-Swapping), 개인정보 유출이 부른 또 다른 재앙

심 스와핑(SIM-Swapping)과 개인정보

심 스와핑의 개념

심 스와핑은 공격자가 정당한 권한 없이 피해자의 심(SIM)에 할당되어 있는 전화번호를 공격자가 제어하는 SIM 카드로 재할당하도록 하는 방법으로, 피해자의 전기통신을 공격자가 점유하는 이동통신 단말기로 탈취하는 공격이다.

실제 국내 심 스와핑 범죄 사례

실제 국내에서 심 스와핑 공격 의심 사례가 발생했는데, 피해자는 가상화폐거래소를 이용했던 사람으로 그 액수가 2억 8,000만 원 정도의 피해를 보았다. 다수의 사례가 있었지만, 대부분은 피해자의 소셜미디어, 포털 사이트 등의 비밀번호를 변경하고 2차 인증을 무력화함으로 가상화폐거래소를 이용해 돈을 탈취한 것으로 보아 결국엔 금전을 목적으로 해킹을 한 것으로 보인다.

해외에서는 심 스와핑 범죄가 이미 빈번하게 일어나고 있다. 그럼 어떻게 타인의 전화번호를 탈취하여 해킹을 시도하는 것일까?

SIM 교체를 통한 디지털 침입

심 스와핑 범죄 수법

1. 고객 대상 사회공학(Phishing)

범죄자들은 문자(SMS), 이메일, 소셜미디어 메시지, 전화 통화 등을 통해 고객에게 직접 접근한다. 이들은 이동통신사 직원이나 기타 서비스 제공자를 사칭하여, 고객의 이름, 생년월일, 주소, 은행 계좌번호 등 민감한 정보를 탈취하려 한다. 또한 이동통신사 온라인 포털 로그인 정보까지 노리는 경우도 많다.

위험도: 매우 높음 (HIGH)

2. 이동통신사 직원 대상 사회공학(Phishing)

통신사 내부 직원들도 공격 대상이 된다. 범죄자들은 문자, 이메일, 소셜미디어 메시지, 전화 등을 통해 직원들에게 접근해, 고객의 이름, 생년월일, 주소, 은행 계좌 정보 등을 빼내려 한다. 고객을 직접 노리는 것보다는 위험성이 낮지만, 직원 한 명을 속이면 대량의 고객 정보를 얻을 수 있기 때문에 주의해야할 수법이다.

위험도: 중간(MEDIUM)

예방 및 해결책이 존재한다

즉시 이동통신사 고객센터에 신고하기

→ 내 번호가 이상 징후(통화 불능, 문자가 수신 안됨 등)를 보이면 즉시 통신사에 전화해 번호 도용 여부를 확인하고 SIM 사용 중지 요청

이메일, 금융 계정 비밀번호 변경하기

→ 특히 SMS 인증을 사용하는 모든 계정 비밀번호를 신속히 변경

은행 및 카드사에 추가 피해 신고하기

→ 내 명의로 부정 금융 거래가 발생했는지 점검하고, 금융기관에 사고 등록 요청

사이버범죄 신고

→ 경찰청 사이버범죄 신고 시스템(https://ecrm.police.go.kr)이나 사이버수사대에 피해 사실을 신고

마치며 : 심 스와핑과 몸캠피싱의 연결고리

1. 심 스와핑으로 메신저 계정 탈취 가능

심 스와핑이 성공하면, 피해자의 전화번호로 로그인 인증을 받을 수 있다. 카카오톡, 라인, 텔레그램 같은 메신저 서비스는 전화번호 기반 계정 복구를 허용하기에 해커는 탈취한 번호로 피해자의 메신저 계정에 접근할 수 있다.

2. 메신저를 통해 지인 사칭 또는 피해자 협박

해커는 탈취한 메신저 계정을 이용해: 피해자의 지인에게 메시지를 보내고 몸캠피싱을 시도하거나 피해자 본인에게 "너의 영상이 있다"며 협박을 시도할 수 있다. 또는, 기존에 유출된 사진·영상 등을 메신저로 보내며 "이걸 가족/회사로 유포하겠다"는 형태의 몸캠 협박이 가능하다.

3. 심 스와핑 → 개인정보+계정 탈취 → 몸캠 협박 확장

심 스와핑은 기본적으로 디지털 신원 탈취 범죄다. 탈취한 정보를 이용해 피해자의 신분을 사칭하거나,기존 몸캠피싱 피해자들을 대상으로 추가 협박을 가할 수도 있다.

아크링크만의 유포 차단 솔루션

아크링크는 국내 몸캠피싱 대응 공식 기업이다. 아크링크가 보유한 기술은 이와 같은 솔루션으로 피해 상황에서 효과적으로 벗어날 수 있도록 지원한다.

• 초기 대응 가이드 제공

• 영상 유포 상황을 실시간 감지

• 가해자 통신 매체 제한을 통한 영상 유포 행위 억제

• 가해자의 접근을 차단

몸캠피싱으로 관련 피해를 당했다면 디지털범죄 대응 업체 아크링크의 24시간 상담을 통해 신속하고 효과적으로 대응할 수 있도록 도와드립니다.