신종 범죄 ‘심 스와핑’

‘복제한 유심 정보’로 금융자산 해킹

국내 첫 의심범죄 2건 신고
폰 먹통…유심 재장착하면
가상통화 등 이미 빠져나가
둘 다 KT 통신망 이용자
대리점 PC 해킹·공모 의심

휴대전화에 꽂는 유심 정보를 복사해 개인정보나 금융자산을 훔치는 범행을 뜻하는 ‘심 스와핑(SIM Swapping·신원 탈취 기술)’ 의심 사례가 국내에서도 잇따라 발생하고 있다. 전문가들은 가상통화를 노린 신종 사이버 범죄에 정부와 관련 업계가 적극적으로 대응해야 한다고 지적한다.

19일 경찰에 따르면 서울경찰청과 충남 홍성경찰서에는 최근 심 스와핑 범죄로 의심되는 피해 신고가 각각 접수됐다. 피해자들은 공통으로 스마트폰이 먹통이 되는 현상을 겪었으며, 유심칩 재장착 이후 가상통화 거래소에 있던 가상자산이 타인계좌로 유출되는 피해를 입었다. 경찰 관계자는 “범행 수법이 유사해 두 사건을 모두 서울청 사이버수사대에서 조사하기로 했다”며 “모든 가능성을 열어두고 수사 중”이라고 밝혔다.

심 스와핑은 피해자 휴대폰의 유심 정보를 복제해 은행이나 가상통화 계좌를 손에 넣는 해킹 수법이다. 유심 정보를 복제하는 방법은 다양하다. 유심칩을 빼내 직접 복사하거나 사용자에게 해킹용 인터넷 주소를 보내 클릭을 유도한 뒤 유심 정보를 훔칠 수 있다. 통신사나 휴대전화 대리점 서버를 해킹해 정보를 빼내는 것도 가능하다. 해커는 훔친 개인정보를 활용해 새로운 유심칩을 개통하고, 이를 공기계 상태의 휴대폰에 끼워 피해자의 문자와 전화 통화를 대신 수신한다. 은행이나 거래소에서 문자메시지로 전송하는 본인확인 인증번호도 고스란히 해커가 받아볼 수 있다.

국내에선 용어조차 낯설지만 해외에선 여러 차례 피해 사례가 보도됐다. 2018년 미국에선 가상통화 투자자가 통신사 부주의로 심 스와핑 피해를 봤다며 AT&T를 상대로 2억2400만달러 규모의 소송을 걸었다. 2019년 8월 잭 도시 트위터 최고경영자도 심 스와핑에 당해 사회관계망서비스(SNS) 계정에 ‘히틀러는 죄가 없다’ 등의 글이 게시되는 피해를 봤다. 유럽정보보호원(ENISA)이 지난달 발간한 보고서에 따르면 지난해 유럽 22개국 48개 이동통신(MNO) 사업자 중 12곳이 심 스와핑 사고를 경험했다. 이들 중 4개사는 관련 사고가 50건 이상 발생했다.

휴대폰 비대면 개통 때 개인정보 확인이 허술한 해외와 달리 국내 통신사는 패스(PASS) 인증이나 계좌인증 등 이중, 삼중의 확인절차를 거친다. 그런 점에서 국내에서 발생하는 심 스와핑 범죄의 경우 통신사 시스템에 24시간 접근할 수 있는 대리점 PC를 통한 해킹이나 공모 가능성을 열어두고 조사해야 한다고 전문가들은 말한다. 현재 국내 의심 사례는 모두 KT 통신 서비스를 이용했다.

과학기술정보통신부 관계자는 “현재 통신이용제도과에서 피해 상황을 파악 중”이라며 “경찰 수사를 통해 원인이 정확하게 밝혀져야 구체적인 대응책을 마련할 수 있을 것으로 본다”고 말했다.