SIM 스와핑
IT 위키
SIM 스와핑(SIM swapping)은 공격자가 이동통신사로 하여금 타인의 전화번호를 자신의 SIM 카드로 이전하게 하여 피해자의 인증 수단을 탈취하는 사회공학 기반의 공격 기법이다.
개요[편집 | 원본 편집]
SIM 스와핑은 피해자의 개인정보를 사전에 수집한 뒤, 이를 이용해 이동통신사에 피해자로 가장하여 번호 이동(번호 재발급)을 신청함으로써 공격자의 SIM 카드에 피해자의 전화번호를 연결하는 방식이다. 이로 인해 피해자는 통신 서비스 이용이 불가능해지고, 공격자는 인증 문자(SMS)와 통화 등을 가로채 금융 서비스, 이메일, SNS 등의 계정을 탈취할 수 있다.
공격 과정[편집 | 원본 편집]
SIM 스와핑은 일반적으로 다음과 같은 단계를 거쳐 이루어진다:
- 사전 정보 수집: 소셜 엔지니어링, 피싱, 데이터 유출 등을 통해 피해자의 개인정보(이름, 주민등록번호, 전화번호 등)를 수집
- 이동통신사 사칭: 수집한 정보로 이동통신사 고객센터나 대리점에 접근해 본인 확인을 통과
- 유심 재발급 요청: 번호 분실 또는 기기 변경을 사유로 피해자의 번호를 새로운 SIM에 연결
- 인증 정보 탈취: 금융기관, 포털, SNS 등에서 SMS 또는 음성 인증을 가로채 계정 탈취
피해 사례[편집 | 원본 편집]
- 금융 사기: 2단계 인증을 우회해 은행 계좌에 접근하거나 비밀번호 재설정을 통해 자산 탈취
- SNS/이메일 해킹: 개인 계정 탈취 후 사칭, 협박, 추가 해킹 수행
- 암호화폐 도난: OTP, 인증키 등을 빼앗아 가상자산 지갑을 탈취하는 사례 증가
예방 및 대응[편집 | 원본 편집]
SIM 스와핑을 예방하기 위한 조치는 다음과 같다:
- 유심 보호 서비스(PIN, PUK 설정) 활성화
- 본인확인 수단에 추가 인증 절차 적용(이메일, 생체인증 등)
- 통신사에 유심 재발급 제한 요청
- 개인정보 유출 여부 정기 확인 및 계정 보호 강화
- 이상 징후 발생 시 즉각 통신사 및 서비스 사업자에 신고
각국의 대응[편집 | 원본 편집]
미국, 유럽, 한국 등에서는 SIM 스와핑 피해 증가에 따라 관련 법적 규제 및 통신사 보안 지침을 강화하고 있다. 일부 국가는 유심 재발급 시 대면 인증 또는 지연 처리 정책을 도입하고 있다.
같이 보기[편집 | 원본 편집]
참고 문헌[편집 | 원본 편집]
- Lee, H. (2022). "SIM 스와핑 공격의 동향과 대응방안". 정보보호학회지, 32(4), 78-85.
- Paik, J. (2021). *사이버 범죄와 모바일 보안*. 정보문화사.
