“보이스피싱, 월패드 해킹에 이제는 유심 카드 스와핑까지…마음 놓고 살 수가 없네요.”
다른 사람의 휴대폰 유심칩을 복제해 은행이나 암호화폐 계좌를 손에 넣는 신종 해킹 수법 ‘심 스와핑(SIM Swapping)’ 사례가 잇따라 발생하면서 불안감이 커지고 있다. 온라인에서는 심 스와핑을 방지할 수 있는 방안을 공유하며 대처하는 사람들이 늘고 있다.
19일 비트코인 투자 관련 사이트를 포함한 각종 인터넷 커뮤니티에는 ‘SIM 카드 잠금 설정 방법’이라는 글이 연이어 올라왔다. 한 게시글에서 A 씨는 “현재 심 스와핑을 예방하는 방법은 이것밖에 없다”면서 “설정에 들어가서 ‘심카드 잠금 설정’을 꼭 하라”고 전했다.
심 스와핑은 말그대로 ‘유심칩을 바꿔치기’하는 해킹 수법이다. 유심칩으로 불리는 가입자 식별 모듈(SIM) 카드는 각자의 고유 번호를 갖고 있어 카드만 꽂으면 휴대폰을 자신의 단말기처럼 활용할 수 있고 휴대폰 가입자 인증도 가능한 점을 악용했다.
해외에서는 이 같은 수법의 범죄가 종종 발생했지만 국내에서 발견된 것은 최근이다. 앞서 지난 12일 새벽 충남 홍성에서 윤 모(25) 씨가 자신이 갖고 있던 코인원의 암호화폐 2,100만 원이 출금됐다며 신고를 했고 지난해 12월 24일에는 서울 거주 회사원 B 씨가 비슷한 내용의 신고를 했다. 자신의 계좌에서 누군가 이더리움 106만 원을 매수해 다른 지갑으로 전송했다는 것이 B 씨의 주장이다.
서울경찰청 사이버수사대와 충남 홍성경찰서는 피해 신고를 접수하고 수사에 착수했다. 유심칩을 어떻게 탈취했는지 등 범죄 수법에 대해 조사하고 있다. 경찰 관계자는 “두 사건을 동일 사건으로 보고 수사 자료 일체를 서울청 사이버 수사대에 이송했다”고 말했다.
전문가들은 심 스와핑을 막으려면 개인과 이동통신사 양쪽 모두 개인 정보 보호에 힘쓸 필요가 있다고 조언했다. 개인의 경우 온라인 커뮤니티에서 공유된 것처럼 유심 비밀번호를 따로 설정해 두면 좋다. 이 경우 유심을 뺐다 다시 넣을 때 별도 비밀번호를 입력해야 하기 때문에 해킹이 쉽지 않다. 다만 이 방법은 유심칩을 물리적으로 훔친 경우라면 해킹을 막을 수 있지만 개인 정보만 따로 탈취해 새로 유심을 만든 경우라면 소용없다.
김승주 고려대 정보보호대학원 교수는 “범인이 아예 개인 정보를 훔쳐서 새로 유심칩을 만들 경우 해당 유심칩에는 비밀번호가 걸려 있지 않기 때문에 효과가 없다”면서 “그래도 개인 차원에서는 무조건 유심 비밀번호를 걸어두는 것이 좋고 유심을 관리하는 이동통신사 또한 고객 개인 정보가 노출되지 않도록 대책을 마련해야 한다”고 강조했다.