1. 개요
- 스마트폰은 오늘날 휴대폰의 기능을 넘어 인증 수단으로도 사용됨
1.1 심(Subscriber Identity Module, SIM)
- 가입자를 인증하는 장치로 정상 사용을 위해서 사용자를 판별
- 1990년대 등장하여 초기에는 단순히 가입자의 식별 정보만 확인하는 용도로 사용
- 2000년 이후 3G 서비스가 보급화된 후 주소록 저장, 교통카드, 신용카드 등의 부가 기능이 포함된 유심(Universal Subscriber Identity Module, USIM) 카드가 사용
- 유심칩에는 고유 번호가 있고, 이동통신사에 휴대전화 개통을 위해 필요한 정보가 모두 있어 다른 휴대전화로 바꿔 꽂아도 사용가능
2. 심 스와핑 (SIM Swapping)
- 피해자 스마트폰의 유심정보를 복제해 피해자의 개인정보 또는 은행이나 금융정보에 접근 및 탈취하는 신종 해킹 수법
- 상당수의 심 스와핑 공격은 개인들의 가상화폐 탈취가 주된 목적인 것으로 나타남
- 보통 피해자가 휴대폰을 확인하지 못하거나(ex 새벽), 고객샌터와 연결이 어려운 시간대(ex 새벽, 휴일) 이루어짐
2.1 원인
- 개인 정보를 많이 수집한 경우에 한해서 심 스와핑이 종종 발생
> 소셜 미디어 등에 공개한 이메일, 생일 등 정보 + 해킹 등으로 탈취한 개인정보 = 한 개인에대한 완성된 정보
> 사용자를 가장해 이동통신사에 연락해 신원을 인증한 후 유심칩을 재발급
- 일반적으로 새로운 심카드를 발급했다면 기존의 심카드는 폐기하고, 해당 내용이 통신사의 전산 시스템에 기록됨
> 심 스와핑의 경우 이러한 과정을 거치지 않아 동일한 유심이 2개가 됨
> 이로인해, 공격자가 복사한 유심을 휴대폰에 끼운 채 재부팅을 하면 전산상으로 "기기 변경"이 이뤄진 것으로 기록됨
> 즉, 공격자가 유심을 복재하였지만 전산상 해킹의 흔적이 남지않음
> 반대로, 정상 사용자의 휴대폰은 통신모듈이 정지되고 가입자 식별도 불가능해짐
※ 사용자가 이상을 인지한 후 유심을 뺀 후 다시 넣고 전원을 켜면 공격자의 휴대폰이 먹통이 되는 원리
2.2 공격 방식
① 개인정보 수집
- 피싱, 악성코드, SNS 등의 다양한 해킹 기법을 통해 개인정보와 금융정보를 수집
- 다크웹에서 유출된 개인정보 구매
② 심 스와핑 수행
- 피해자를 사칭해 이동통신사나 온라인으로 유심 신청
- 유심 분실, 파손을 이유로 피해자를 가장해 재발급 신청 또는 관련 직원 매수
③ 개인정보 및 금융자산 탈취
- 새로운 유심을 사용해 피해자의 계정을 이용해 추가 정보 탈취
※ 해외와 국내의 공격 방식은 차이를 보임
해외 이통사 | 비고 | 국내 이통사 |
상대적 소홀 | 본인인증 절차 | 동일 번호로 유심 재발급 시 신분증 등 인증 수단 필요 |
소홀한 본인 인증과 유출된 개인정보의 조합 관련 직원 매수 |
공격 방식 | 이통사 대리점 해킹 또는 불법 시스템 이용 관련 직원 매수 |
2.3 사례
- 미국 FBI는 심 스와핑이 갈수록 악용되고 있다고 경고
> 2018 ~ 2020년까지 약 1200만 달러(약 143억 원)의 피해액이 발생
> 2021년 한 해만 6800만 달러(약 810억 원)의 피해액이 발생
① 미국 AT&T 사례
- 미국의 한 사용자는 심 스와핑으로 2380만 달러의 암호화폐를 도난
- AT&T 대리점 직원이 심 스와핑을 도왔던 정황이 밝혀짐
- 이동통신사인 AT&T에 도난당한 피해액의 10배에 달하는 소송을 제기
② 캐나다 심 스와핑 사례
- 10대 소년 해커가 심 스와핑으로 432억 원(4600만 캐나다 달러)가량의 가상화폐 탈취
> 이동통신사를 속여 새로운 유심을 발급
> 전화번호를 이용한 비밀번호 초기화에 성공한 뒤 자신의 전자지갑에 가상화폐를 옮긴 것
- 캐나다 경찰과 FBI는 1년 8개월의 공조 수사를 통해 캐나다 온타리오주 해밀턴에서 체포
③ 유럽정보보호원(European Union Agency for Cybersecurity)이 발간한 '심 스와핑 대응' 보고서
> 설문에 응한 유럽 22개국 48개 이동통신(MNO) 사업자 중 25곳이 심 스와핑 사고를 경험
> 이들 중 6곳에선 관련 사고가 50건 이상 발생
④ KT 심 스와핑 사례
- 전산상 해킹의 흔적이 없어 KT는 단순히 '기기변경'으로 판단 및 추가대응하지 않음
- 피해자들은 KT에 다음 정보를 요청하였지만, 받아 들여지지 않음
> 기존 기지국 정보와 복제된 유심을 사용해 재부팅 시 기지국 정보가 다를 경우 공격을 의심해 볼 수 있음
> 피해자들은 개보위에 분쟁조정위원회를 요청하였고, KT에 기지국 정보를 제공하라 조정_KT는 문자를 수신한 기지국 정보는 제3자의 기지국 정보이기 때문에 제공할 수 없다고 거부
> 피해자들은 다시 분쟁조정위원회 요청 및 개보법에따라 정보를 제공하라고 결론
제35조(개인정보의 열람) ③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. <하략>
3. 대응방안
① 이동통신사에 연락해 전화 회선 자체를 일시 정지 요청
- 대표적인 증상은 전화나 문자가 제대로 송·수신되지 않거나 무선 네트워크 접속 불가 등의 메시지가 표시됨
- 휴대전화를 끄지 않고 무단 접근에 대한 알람이 수신되는 것을 확인
② 유심에 비밀번호(PIN 번호) 또는 다른 USIM 사용 제한 설정
- 핀을 사용하면 통신기기를 재시동하거나 심 카드를 제거할때마다 핀 번호를 입력해야 함
- 초기 유심 카드 비밀번호는 0000 또는 00000000이며, 3회 이상 틀릴 경우 유심이 잠김
- 단, 해커가 유심을 새로 발급할 때는 효과가 없음
③ 앱 기반 2단계 인증 등 별도의 보안 장치를 사용
- SMS 또는 스마트폰 번호가 아닌 앱을 활용한 인증기능을 사용
- 단, 해커가 휴대전화를 통제하게 되면 우회할 수 있음
④ 엠세이퍼(M-Safer) 서비스 이용
- 한국정보통신진흥협회(KAIT)에서 운영 중인 이동전화 가입 제한 서비스 이용
- 가입제한 서비스 : 본인 아닌 타인으로부터 이동전화 신규가입 또는 명의변경 등을 제한하는 서비스
- 가입사실현황조회 서비스: 본인 명의로 가입된 통신서비스 현황을 조회일자 기준으로 확인할 수 있는 서비스
- SMS안내 서비스: 본인 명의로 각종 통신서비스에 신규로 가입하거나 명의변경을 통해 양도받을 경우 그 사실을 가입자 본인 명의로 사용하고 있는 이동전화 회선을 통해 SMS로 알려주는 서비스
- 이메일안내 서비스: 본인 명의로 각종 통신서비스에 신규로 가입하거나 명의변경을 통해 양도받을 경우 그 사실을 e-mail로 알려주는 서비스
※ 서비스는 신청자에 한하여 제공
⑤ 계정 잠금 요청
- 가상화폐거래소, 금융권 등 이용중인 서비스에 계정 잠금 요청
⑥ 개인 정보 관리
- FBI는 소셜 미디어나 웹사이트에 자신의 신상과 투자 정보, 금융 자산 정보를 공개하지 말 것을 권고
⑦ 기본 보안 수칙 준수
- 검증되지 않은 하이퍼링크, 첨부파일은 되도록 열지 않는 것을 권장
- 스스로 개인정보를 보호하기 위한 노력과 보안 실천 수칙들을 숙지
4. 참고
[1] https://www.joongang.co.kr/article/25091396#home
[2] https://m.nocutnews.co.kr/news/5717179
[3] https://www.boannews.com/media/view.asp?idx=106573
[4] https://blog.naver.com/n_privacy/222649951402
[5] https://www.ajunews.com/view/20220123163806841
[6] https://www.fis.kr/ko/major_biz/cyber_safety_oper/attack_info/security_news?articleSeq=2340
[7] https://www.sedaily.com/NewsView/260XD7N878
[8] https://hummingbird.tistory.com/6906
[9] https://finjoy.net/483
'취약점 > Social Engineering' 카테고리의 다른 글
Browser in the Browser (BitB) (0) | 2023.04.20 |
---|---|
랜섬웨어 그룹 사칭 피싱메일 (0) | 2023.04.03 |
BEC 공격과 EAC 공격 (0) | 2023.02.04 |
사회공학기법 #2 유형 및 대응 (1) | 2022.08.25 |
사회공학기법 #1 개요 (0) | 2022.08.24 |