심 스와핑(SIM Swapping)
포스팅 뷰55
심 스와핑(SIM Swapping)이란?
심스와핑은 해커가 이동통신사 직원으로 가장하거나 내부 정보를 이용해 타인의 전화번호가 등록된 유심(USIM)을 자신이 소유한 디바이스로 변경하는 수법이다. 이로 인해 문자나 전화 기반의 인증 절차가 공격자에게 넘어가면서, 2단계 인증(2FA)이 무력화되고 피해자의 금융 계좌, SNS 계정, 이메일 등 다양한 서비스에 접근이 가능해진다.
심스와핑은 단독 범죄로도 위협적이지만, 최근에는 APT(지능형 지속 위협) 공격이나 랜섬웨어 등과 결합해 더욱 정교하게 악용되고 있다. 일부 해커 조직은 이동통신사 자체를 해킹해 유심 관련 데이터를 대량으로 확보하고, 이를 다크웹에서 판매하는 사례도 보고된다.
심 스와핑의 위험성을 보여주는 실제 사례
트위터 CEO 해킹 사건
2019년 8월, 트위터 공동창업자이자 당시 CEO였던 잭 도시(Jack Dorsey)의 트위터 계정이 심 스와핑을 통해 해킹되었다. 해커는 단순한 비밀번호 유출이 아닌, 이동통신사에 접근하여 잭 도시의 전화번호가 연결된 유심을 탈취한 뒤, SMS 기반 계정 복구 절차를 악용해 트위터 계정에 침투했다.
그 결과, 해킹된 계정을 통해 인종차별적이며 음란한 내용의 트윗이 약 15분 동안 무차별적으로 게시되었고, 이는 심 스와핑의 위험성을 전 세계에 경고하는 상징적 사건이 되었다.
SKT 유심 정보 유출에 '심 스와핑' 우려
2025년 4월, SK텔레콤은 내부 인증 서버가 BPF도어 악성코드에 감염되어 해킹당했다.
SK텔레콤은 주민등록번호,주소, 이메일 등의 민감한 개인정보나 금융 정보는 유출되지 않았다고 밝혔지만, 유심 자체가 가입자의 식별·인증 정보를 저장하는 디지털 신원(Digital Identity) 역할을 한다는 점에서 이번 사고의 파장은 결코 가볍지 않다.
특히 해커가 이 정보를 이용해 불법 유심을 제작하거나, 명의 도용 대포폰 개통 등 다양한 범죄에 악용할 가능성이 높아졌다.
국내 심 스와핑 피해 사례
2022년 초, 서울경찰청 사이버범죄수사대는 약 40건의 심 스와핑 피해 의심 사례를 수사했다. 피해자들은 휴대전화 통신 이상(먹통 현상) 이후, 수백만 원에서 수억 원 상당의 가상자산을 탈취당한 것으로 드러났다.
당시 피해자들이 이용한 통신사가 동일했던 점을 고려할 때, 물리적 유심 탈취보다는 사이버 공격에 의한 정보 유출 가능성이 제기됐다. 이에 따라, 일반 이용자들도 보다 철저한 보안 조치와 경각심을 가져야 할 필요성이 강조되고 있다.
심 스와핑 예방 방법
1. 유심 비밀번호(PIN) 설정
스마트폰의 설정 메뉴에서 유심에 PIN을 설정해 무단 변경을 차단한다.
2. 이중 인증 수단 변경
SMS 기반의 2FA 대신, OTP 앱(예: Google Authenticator)을 사용하여 계정 보안을 강화한다.
3. 통신사 계정 보안 강화
통신사 홈페이지 계정의 비밀번호를 주기적으로 변경하고, 의심스러운 활동이 감지되면 즉시 통신사에 문의하여 보호 조치를 취한다.