꼰머의 보안공부

1. 개요

- 스마트폰은 오늘날 휴대폰의 기능을 넘어 인증 수단으로도 사용됨

1.1 심(Subscriber Identity Module, SIM)

- 가입자를 인증하는 장치로 정상 사용을 위해서 사용자를 판별

- 1990년대 등장하여 초기에는 단순히 가입자의 식별 정보만 확인하는 용도로 사용

- 2000년 이후 3G 서비스가 보급화된 후 주소록 저장, 교통카드, 신용카드 등의 부가 기능이 포함된 유심(Universal Subscriber Identity Module, USIM) 카드가 사용

- 유심칩에는 고유 번호가 있고, 이동통신사에 휴대전화 개통을 위해 필요한 정보가 모두 있어 다른 휴대전화로 바꿔 꽂아도 사용가능

2. 심 스와핑 (SIM Swapping)

- 피해자 스마트폰의 유심정보를 복제해 피해자의 개인정보 또는 은행이나 금융정보에 접근 및 탈취하는 신종 해킹 수법

- 상당수의 심 스와핑 공격은 개인들의 가상화폐 탈취가 주된 목적인 것으로 나타남

- 보통 피해자가 휴대폰을 확인하지 못하거나(ex 새벽), 고객샌터와 연결이 어려운 시간대(ex 새벽, 휴일) 이루어짐

2.1 원인

- 개인 정보를 많이 수집한 경우에 한해서 심 스와핑이 종종 발생

> 소셜 미디어 등에 공개한 이메일, 생일 등 정보 + 해킹 등으로 탈취한 개인정보 = 한 개인에대한 완성된 정보

> 사용자를 가장해 이동통신사에 연락해 신원을 인증한 후 유심칩을 재발급

- 일반적으로 새로운 심카드를 발급했다면 기존의 심카드는 폐기하고, 해당 내용이 통신사의 전산 시스템에 기록됨

> 심 스와핑의 경우 이러한 과정을 거치지 않아 동일한 유심이 2개가 됨

> 이로인해, 공격자가 복사한 유심을 휴대폰에 끼운 채 재부팅을 하면 전산상으로 "기기 변경"이 이뤄진 것으로 기록됨

> 즉, 공격자가 유심을 복재하였지만 전산상 해킹의 흔적이 남지않음

> 반대로, 정상 사용자의 휴대폰은 통신모듈이 정지되고 가입자 식별도 불가능해짐

※ 사용자가 이상을 인지한 후 유심을 뺀 후 다시 넣고 전원을 켜면 공격자의 휴대폰이 먹통이 되는 원리

2.2 공격 방식

① 개인정보 수집

- 피싱, 악성코드, SNS 등의 다양한 해킹 기법을 통해 개인정보와 금융정보를 수집

- 다크웹에서 유출된 개인정보 구매

② 심 스와핑 수행

- 피해자를 사칭해 이동통신사나 온라인으로 유심 신청

- 유심 분실, 파손을 이유로 피해자를 가장해 재발급 신청 또는 관련 직원 매수

③ 개인정보 및 금융자산 탈취

- 새로운 유심을 사용해 피해자의 계정을 이용해 추가 정보 탈취

※ 해외와 국내의 공격 방식은 차이를 보임

2.3 사례

- 미국 FBI는 심 스와핑이 갈수록 악용되고 있다고 경고

> 2018 ~ 2020년까지 약 1200만 달러(약 143억 원)의 피해액이 발생

> 2021년 한 해만 6800만 달러(약 810억 원)의 피해액이 발생

① 미국 AT&T 사례

- 미국의 한 사용자는 심 스와핑으로 2380만 달러의 암호화폐를 도난

- AT&T 대리점 직원이 심 스와핑을 도왔던 정황이 밝혀짐

- 이동통신사인 AT&T에 도난당한 피해액의 10배에 달하는 소송을 제기

② 캐나다 심 스와핑 사례

- 10대 소년 해커가 심 스와핑으로 432억 원(4600만 캐나다 달러)가량의 가상화폐 탈취

> 이동통신사를 속여 새로운 유심을 발급

> 전화번호를 이용한 비밀번호 초기화에 성공한 뒤 자신의 전자지갑에 가상화폐를 옮긴 것

- 캐나다 경찰과 FBI는 1년 8개월의 공조 수사를 통해 캐나다 온타리오주 해밀턴에서 체포

③ 유럽정보보호원(European Union Agency for Cybersecurity)이 발간한 '심 스와핑 대응' 보고서

> 설문에 응한 유럽 22개국 48개 이동통신(MNO) 사업자 중 25곳이 심 스와핑 사고를 경험

> 이들 중 6곳에선 관련 사고가 50건 이상 발생

④ KT 심 스와핑 사례

- 전산상 해킹의 흔적이 없어 KT는 단순히 '기기변경'으로 판단 및 추가대응하지 않음

- 피해자들은 KT에 다음 정보를 요청하였지만, 받아 들여지지 않음

> 기존 기지국 정보와 복제된 유심을 사용해 재부팅 시 기지국 정보가 다를 경우 공격을 의심해 볼 수 있음

> 피해자들은 개보위에 분쟁조정위원회를 요청하였고, KT에 기지국 정보를 제공하라 조정_KT는 문자를 수신한 기지국 정보는 제3자의 기지국 정보이기 때문에 제공할 수 없다고 거부

> 피해자들은 다시 분쟁조정위원회 요청 및 개보법에따라 정보를 제공하라고 결론

제35조(개인정보의 열람) ③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. <하략>

3. 대응방안

① 이동통신사에 연락해 전화 회선 자체를 일시 정지 요청

- 대표적인 증상은 전화나 문자가 제대로 송·수신되지 않거나 무선 네트워크 접속 불가 등의 메시지가 표시됨

- 휴대전화를 끄지 않고 무단 접근에 대한 알람이 수신되는 것을 확인

② 유심에 비밀번호(PIN 번호) 또는 다른 USIM 사용 제한 설정

- 핀을 사용하면 통신기기를 재시동하거나 심 카드를 제거할때마다 핀 번호를 입력해야 함

- 초기 유심 카드 비밀번호는 0000 또는 00000000이며, 3회 이상 틀릴 경우 유심이 잠김

- 단, 해커가 유심을 새로 발급할 때는 효과가 없음

③ 앱 기반 2단계 인증 등 별도의 보안 장치를 사용

- SMS 또는 스마트폰 번호가 아닌 앱을 활용한 인증기능을 사용

- 단, 해커가 휴대전화를 통제하게 되면 우회할 수 있음

④ 엠세이퍼(M-Safer) 서비스 이용

 - 한국정보통신진흥협회(KAIT)에서 운영 중인 이동전화 가입 제한 서비스 이용

- 가입제한 서비스 : 본인 아닌 타인으로부터 이동전화 신규가입 또는 명의변경 등을 제한하는 서비스

- 가입사실현황조회 서비스: 본인 명의로 가입된 통신서비스 현황을 조회일자 기준으로 확인할 수 있는 서비스

- SMS안내 서비스: 본인 명의로 각종 통신서비스에 신규로 가입하거나 명의변경을 통해 양도받을 경우 그 사실을 가입자 본인 명의로 사용하고 있는 이동전화 회선을 통해 SMS로 알려주는 서비스

- 이메일안내 서비스: 본인 명의로 각종 통신서비스에 신규로 가입하거나 명의변경을 통해 양도받을 경우 그 사실을 e-mail로 알려주는 서비스

※ 서비스는 신청자에 한하여 제공

⑤ 계정 잠금 요청

- 가상화폐거래소, 금융권 등 이용중인 서비스에 계정 잠금 요청

⑥ 개인 정보 관리

- FBI는 소셜 미디어나 웹사이트에 자신의 신상과 투자 정보, 금융 자산 정보를 공개하지 말 것을 권고

⑦ 기본 보안 수칙 준수

- 검증되지 않은 하이퍼링크, 첨부파일은 되도록 열지 않는 것을 권장

- 스스로 개인정보를 보호하기 위한 노력과 보안 실천 수칙들을 숙지

4. 참고

[1] https://www.joongang.co.kr/article/25091396#home
[2] https://m.nocutnews.co.kr/news/5717179
[3] https://www.boannews.com/media/view.asp?idx=106573
[4] https://blog.naver.com/n_privacy/222649951402
[5] https://www.ajunews.com/view/20220123163806841
[6] https://www.fis.kr/ko/major_biz/cyber_safety_oper/attack_info/security_news?articleSeq=2340
[7] https://www.sedaily.com/NewsView/260XD7N878
[8] https://hummingbird.tistory.com/6906
[9] https://finjoy.net/483