2025년 4월 19일 SK콤에서 발생한 가입자 유심 정보 유출 사고가 발생했다. 이는 훔친 유심 정보를 가지고 복제 폰을 이용한 범죄와 금융자산을 탈취하는 ‘심 스와핑’으로 인한 피해 우려까지 제기되며 공포감이 극대화됐다. 이에 따라 주요 대기업에서는 유심 교체를 권고했으며, 유통이나 금융 업계의 경우 SK텔레콤에 대한 본인 인증을 중단했다.

심 스와핑은 공격자가 유심 정보를 이용하거나 변경하여 대상자의 통신을 가로채는 공격방식이다. 전화번호가 탈취되면 해커는 피해자에게 전송되는 통화와 문자메시지를 모두 가로챌 수 있다. 공격자가 탈취한 개인정보를 이용해 당사자를 가장해 대리점에서 유심을 재발급받거나, 타사로 번호이동이나 신규 가입을 통해 단말기 개통을 하여 각종 SMS 인증을 받는 방식이 있다. 이 과정을 통해 은행 계좌, 가상화폐 거래소, 이메일, 소셜 미디어 계정 등의 비밀번호를 변경하거나 2차 인증을 통한 사용자 정보 등 민감한 서비스에도 손쉽게 접근할 수 있다.

국내 첫 심 스와핑은 2021년 12월에 발생했다. 아침에 스마트폰이 먹통이 됐으며 메일의 비밀번호가 변경됐다. 이는 개통 이력의 조회 결과 유심 기기 변경(이하 유심기변)으로 밝혀졌으며 유심을 재발급받았다. 유심기변은 기존에 가지고 있던 핸드폰에서 유심만 빼서 새로 산 중고 휴대전화기 또는 자급제폰에 유심만 바꿔서 사용하는 것이다. 이에 따라 암호화폐 약 100만 원이 다른 암호화폐 지갑으로 전송돼 피해가 발생했다.

2022년에는 KT의 심 스와핑 피해자 40명이 발생했다. 일부 가입자들이 갑자기 네트워크가 끊기는 상황이 생겼다. 당사자들이 재부팅을 하면 유심기변이 처리되면서 다시 네트워크가 돌아왔다. 하지만 재부팅을 하는 사이 공격자들이 통신에 대한 권한을 가져갔다. 이에 따라 암호화폐 탈취를 해가는 등의 사건들이 발생했다. KT는 이후 KT 출시 단말이 아닌 타사, 해외 단말들의 유심기변을 제한했다.

외국의 경우 2019년 8월 잭 도시 트위터 최고경영자(CEO)도 심 스와핑에 당했다. 자신의 x(과거 트위터) 계정이 해킹되며 인종차별적 속어 등의 글이 게시됐다. 초기에는 SNS 해킹 등이었지만, 최근에는 금전적 피해를 낳는 암호화폐 계좌 해킹으로까지 피해가 확산했다. 또한, 미국 통신사 T모바일에서도 많은 고객이 심 스와핑 해킹 피해를 봤다. 이후 T모바일은 유심 변경 요청이 있는 경우 SMS로 기존 유심 단말에 알리고 두 명 이상의 본인인증 담당 직원의 확인을 거치는 등의 새로운 지침을 만들었다.

온라인으로 손쉽게 인증을 하고 개인정보 노출이 잦은 현대사회에서 심 스와핑을 예방하는 것은 쉽지 않다. 하지만 통신사 명의도용 방지 서비스 등록, 통신사 계정 비밀번호 설정, 본인 인증 수단 다변화, 의심 링크나 문자 클릭을 조심하는 것을 통해 방지할 수 있다. 빠르게 발달하는 온라인 시대에 맞춰 보안도 그에 걸맞게 발전하길 바란다.

사진 출처 : 픽사베이