[편집자주] 우리 사회는 디지털로의 대전환 시대를 맞아 플랫폼을 중심으로 빠르게 변화하고 있고, 산업 간 경계가 희미해지는 ‘빅블러(Big Blur)’ 현상도 본격적으로 진행 중입니다. 이에 <투데이e코노믹>은 일상을 이롭게 하는 건전한 디지털 전환을 위해 [디지털굿라이프]를 기획했습니다.

[투데이e코노믹 = 박재형 기자] 스마트폰 내 유심 정보를 복제해 피해자의 개인정보, 또는 금융정보에 접근하는 신종 해킹 방법 ‘심스와핑’에 대한 공포심이 커지고 있다.

지난달 경찰에 따르면, 서울경찰청 사이버범죄 수사대는 전국 경찰서에서 약 40건의 심 스와핑 피해 의심 사례를 넘겨받아 수사 중이다.

범죄자들은 ‘유심칩’으로 알려져있는 가입자 식별 모듈 카드를 몰래 복제, 피해자의 은행이나 가상화폐거래소 계좌에 보관된 금융자산을 훔친다. 현재 피해자 중에는 2억 7000만 원 상당의 가상화폐를 도난당한 사례도 있는 것으로 알려졌다.

피해자들은 공통적으로 모두 KT 통신사를 사용했다. 이들은 새벽 시간 스마트폰이 먹통이 됐으며, 카카오톡이나 네이버 등 애플리케이션이 다른 장치에서 로그인됐다는 메시지를 받았다.

가상화폐 거래소 업비트는 최근 심 스와핑으로 의심되는 사례 11건을 사전 탐지해 차단하기도 했다.

휴대폰 분실한 적도 없는데 유심이 복제됐다니? 심스와핑 수법은

유심 불법 복제는 어떻게 이뤄지는 것일까. 전문가들은 범죄자들이 사용자의 이름, 주민등록번호, 신분증 발급 일자 등 개인정보를 탈취 후, 새 유심칩을 개통하는 방식을 이용한다고 분석한다. 유심칩 자체를 직접 해킹하는 것은 어렵기 때문이다.

실제로 미국에서는 해커가 통신사 직원을 매수, 본인인증절차를 제대로 거치지 않고 유심칩을 발급받아 심스와핑 범죄를 저지른 경우도 있었다.

범죄자가 새 유심칩을 개통하고 휴대폰에 장착하면 피해자의 원래 휴대폰은 사용 불가능한 상태가 된다.

이제 범죄자의 휴대폰에 피해자의 모든 전화통화와 문자가 수신되기 때문에, 해커는 피해자 모르게 휴대전화 본인인증을 할 수 있게 된다. 2단계 인증 기능 등 보안장치를 사용해도 전화번호를 이용한 인증, 비밀번호 재설정 등을 통해 무력화할 수 있기 때문에 피해자의 자산에 마음껏 접근할 수 있게 되는 셈이다.

예방방법 없을까

개인이 예방할 수 있는 방법은 거의 없다. 아직 관련 수사들이 진행되고 있기 때문에 공식적인 예방법도 나온 바 없다. 다만 보안성을 높이기 위해 다음과 같은 예방법을 시도해볼 수 있다.

첫 번째는 심카드에 비밀번호를 설정하는 ‘유심 잠금’을 이용하는 방식이다. 휴대폰 내 설정에서 활성화시킬 수 있다. 초기 비밀번호는 보통 0000이다. 다만 비밀번호를 잘못 입력해서 휴대폰이 잠겨버리면 대리점 방문이나 KT고객센터를 통해서만 해제할 수 있다는 점을 유념해야 한다.

비밀번호를 설정하면 통신기기를 껐다가 켤 때마다 핀번호를 다시 입력해야 한다. 유심칩을 뺏다 다시 넣을 때도 마찬가지다.

KT가 무료로 제공하고 있는 부가서비스인 ‘유심보호서비스’도 유심잠금과 비슷한 기능을 제공한다. 내 유심에 안심 설정을 적용해 다른 단말에서 사용할 수 없도록 하는 서비스다.

다만 이 방식들은 유심칩을 물리적으로 훔친 경우만 해킹을 막아준다. 범죄자가 개인정보를 탈취해 새로 유심을 제작하는 방식이라면, 해당 유심칩에 비밀번호가 걸려있지 않기 때문에 효과가 없다.

유출된 개인정보를 활용해 유심카드를 재발급 받는 방식의 심스와핑을 예방하려면, 본인의 계정 보안을 강화하고, 피싱에 주의하는 방법 뿐이다.

정순채 동국대 융합교육원 겸임교수는 15일 본지에 “피해자의 개인정보를 복사한 유심칩을 자신의 휴대전화처럼 사용하는 심스와핑 사건은 현재 경찰에서 수사중으로, 그 수사결과가 나와야만 범죄 형태가 밝혀질 것으로 보인다”면서 “개인은 스마트폰 관리를 잘하고, 반드시 유심 비밀번호를 설정해야 한다”고 말했다.

또 “가상화폐거래소에서는 보안을 강화하고, 통신사도 사용자 고객의 개인정보가 노출되지 않도록 보안 관리에 철저해야 한다”고 덧붙였다.