심스와핑(SIM swapping)이란?

 

SIM swapping은 공격자가 피해자의 이동통신사에 접근해서, 피해자의 전화번호를 자신이 가진 SIM 카드로 이전하게 만드는 사회공학(social engineering) 기반의 해킹 기법이다.

핵심:
공격자는 피해자의 전화번호를 가로채서, 2단계 인증(2FA) 문자, 전화 인증 등을 탈취하고, 결과적으로 금융 계정, 이메일, SNS 계정 등을 탈취할 수 있다.

---

심스와핑 작동 원리

1. 정보수집
   • 공격자는 피해자의 이름, 전화번호, 생년월일, 주소, 심지어 주민등록번호(또는 SSN, 미국 기준) 같은 개인정보를 수집한다.
   • 이는 데이터 유출 사고, 피싱(phishing), 스미싱(smishing) 등을 통해 얻을 수 있다.
2. 이동통신사 속이기
   • 공격자는 이동통신사 고객센터에 연락하거나, 실제 매장에 방문해서
     • "휴대폰을 분실했다"
     • "새 SIM 카드로 번호를 옮기고 싶다" 같은 거짓 요청을 한다.
   • 통신사 직원이 제대로 신원 확인을 하지 않으면, 새 SIM 카드를 공격자에게 발급해준다.
3. 전화번호 탈취
   • 이제 피해자의 전화번호는 공격자의 SIM 카드에 연결된다.
   • 피해자의 원래 폰은 통신이 끊긴다 (통화불가 상태).
4. 계정 탈취
   • 공격자는 은행, 이메일, SNS 계정에 로그인 시도 후,
   • "문자나 전화로 인증번호 보내기" 옵션을 선택한다.
   • 인증 코드는 공격자의 폰으로 전송되기 때문에, 공격자는 손쉽게 비밀번호를 초기화하거나 계정에 접근할 수 있다.

---

그림으로 요약

단계설명

정보수집	피해자의 개인정보 확보
통신사 속이기	통신사에 SIM 변경 요청
번호 탈취	공격자 SIM에 번호 연결 완료
인증 탈취	인증코드 가로채서 계정 해킹

---

실제 심스와핑 사례

1. Jack Dorsey(잭 도시, 트위터 CEO)
   • 2019년, 해커가 심스와핑으로 잭 도시의 전화번호를 탈취.
   • 그의 트위터 계정(@jack)에서 해커가 직접 트윗을 올림.
   • 큰 파장이 일어났고, 통신사와 트위터 모두 보안강화를 약속하게 됨.
2. Cryptocurrency Investor 해킹
   • 암호화폐 투자자가 심스와핑으로 2FA를 탈취당해,
     코인 지갑에서 수십만 달러 상당의 암호화폐를 도난당한 사례도 있다.

---

심스와핑이 가능한 이유

• 통신사 내부 보안이 허술하거나, 직원이 사회공학에 속아 넘어가기 때문.
• 통신사 정책상, 고객의 생년월일, 주소 정도만 맞으면 SIM 변경을 허용하는 경우가 있음.
• 사람은 기계보다 속이기 쉽기 때문에, 완전히 자동화된 시스템이 아니면 사회공학 공격에 취약할 수밖에 없다.

---

심스와핑 방지 방법

방법설명

이동통신사 PIN 설정	이동통신사 계정에 별도의 비밀번호(PIN)를 설정해두면 SIM 변경 요청 시 추가 인증을 요구함.
2FA에 문자(SMS) 대신 인증앱 사용	구글 인증기(Google Authenticator)나 Authy 같은 앱 기반 2FA를 사용하면, SIM 스와핑에 영향받지 않는다.
계정별 추가 보안 설정	구글, 애플 등 주요 서비스는 ‘SIM 스와핑 방어용 보안 설정’을 제공하기도 한다.
개인정보 유출 최소화	SNS에 생일, 전화번호 같은 개인정보를 노출하지 않고, 피싱 공격에 주의해야 한다.

---

요약

심스와핑은 이동통신사의 인증 시스템을 뚫고, 피해자의 전화번호를 탈취하여 2단계 인증을 우회하고 계정을 해킹하는 공격이다.
개인정보를 보호하고, 인증수단을 다단계로 강화하고, 통신사 보안을 설정하는 것이 핵심적인 방어책이다.