Home > 전체기사

[단독] 국내 심스와핑 3번째 피해자 발생... KT 사용자 또 ‘스마트폰 먹통’

  |  입력 : 2022-01-18 21:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
피해자 C씨, 지난 16일 스마트폰 먹통돼... 코인 탈취 시도됐지만 다행히 피해는 없어
KT 대리점에서 본인 유심과 전산상 다른 스마트폰에서 사용 중인 유심 확인


[보안뉴스 원병철 기자] <보안뉴스>가 지난 1월 5일 첫 단독 보도한 ‘[단독] KT 고객 유심 복사로 암호화폐 탈취? 국내 첫 심스와핑 의심 피해 발생’ 기사 이후 불과 10일 만에 두 번째 피해자와 세 번째 피해자가 연이어 발생했다. 공교롭게도 피해자 3명 모두 KT 사용자이며, 모두 가상자산 거래소를 이용하고 있었다.

▲피해자 C씨가 KT 상담톡 등을 통해 확인한 유심 기변 정황[자료=보안뉴스]


국내 심스와핑 추정 3번째 피해자 발생
이번에 발생한 세 번째 피해자는 지난 1월 16일 일요일 공격을 받았다. 일요일 아침 느지막이 일어난 피해자 C씨는 스마트폰 신호가 잡히지 않고 카카오톡이 접속 불능이 된 것을 확인했다. 특히, 새벽 6시 11분 코레일에서 본인확인 인증번호가 문자로 수신된 것을 보고 스마트폰을 몇 차례 재부팅을 했지만, 기존 사례와 달리 C씨의 스마트폰은 정상으로 돌아오지 않았다.

이에 12시경 인근 대리점을 방문해 휴대폰을 조회한 결과, 오전 6시경 유심이 전산상 다른 휴대폰으로 옮겨진 것으로 확인됐고, 대리점 직원의 스마트폰에 끼워봤지만 역시나 작동하지 않았다.

오후 2시경에는 KT 고객센터에 전화를 걸어 사건을 설명한 후, 일요일이라 당일 유심 교체가 가능한 KT 프라자가 없어 부득이 유심을 정지했다.

피해자 C씨는 “중간 중간 카카오톡과 다음 메일에 접속해 변경된 비밀번호를 바꾸려고 했지만, 휴대폰이 정지돼 문자를 받을 수 없어 실패했다”면서, “주말에는 아예 연락이 되지 않아 계정 정지도 못했는데, 이에 대한 대책이 필요해 보인다”고 설명했다.

특히, C씨는 <보안뉴스> 기사를 통해 ‘심스와핑’ 범죄를 인식하고 이용하고 있던 가상자산 거래소 코인원과 업비트에 접속해 상태를 확인했는데, 다행히 코인에는 문제가 없었다. 그런데 문제없이 접속되던 업비트가 오후 5시경 갑자기 접속불가 상태로 바뀌었다. 다행스러운 건 코인원에서는 ‘크리덴셜 스터핑’으로 추측되는 외부의 접근 시도가 있었다며 출금 제한 상태로 전환시켜 피해는 입지 않았다는 사실이다. 업비트는 C씨가 직접 해킹신고센터를 통해 계좌 동결을 진행했다.

다음 날인 17일 오전 9시, KT프라자를 방문해 확인해보니 16일 새벽 6시경 유심 이동이 있었다는 사실을 재확인했다. 즉, 실제 유심은 피해자의 스마트폰에 꼽혀 있었지만, 전산상 유심은 다른 스마트폰에 꼽혀 있었던 것이다. KT도 1월 16일 새벽 6시 12분 유심기변 이력을 조회해 줬으며, 이러한 사실은 KT대리점과 KT프라자를 통해서 확인된 상황이다.

주목할 점은 첫 번째 피해자인 A씨가 처음 피해를 입은 후 <보안뉴스>에 제공한 자료에 따르면 홈페이지나 마이케이티 앱을 통해서 ‘개통 이력 조회’를 하면 기존 휴대폰 개통 이력 조회를 확인할 수 있었는데, 사건이 보도된 후 다시 확인해보니 가장 최근 정보만 확인이 가능했다. 이에 대해 KT 상담원은 “마이케이티 앱과 KT 닷컴을 통해 개통 이력 조회를 할 경우 현재 기기에 대한 정보만 조회가 가능하며, 이전 내역은 확인하기 어렵다”고 답변했다. 이 때문에 피해자 C씨는 KT 상담톡 앱을 통해 별도로 유심 기변 이력을 문의한 후에야 16일 새벽 6시 12분에 유심 기변 이력이 있다는 것을 확인받을 수 있었다.

KT “사건에 대해 인지하고 있고, 수사 협조 및 내부 대책 마련 중”
이번 피해자 C씨의 사례를 통해 실제 피해자의 유심과 공격에 사용된 복제 유심이 각각 존재하는 것이 확인됐다. C씨의 유심이 먹통이 된 상황에서 공격자의 활동이 계속 감지됐기 때문이다. 게다가 먹통이 된 C씨의 유심은 KT 대리점과 KT 프라자에서도 확인할 수 있었다.

일련의 사건들이 ‘심스와핑’으로 결론나기 위해서는 피해자의 동일한(복제된) 유심이 존재한다는 것이 확인돼야 하는데, 이번 사건으로 어느 정도 확인이 된 셈이다. 이와 관련 피해자 A씨와 B씨는 KT에 유심 기변이 일어났던 당시의 ‘기지국 정보’를 요청했는데, KT는 개인정보가 포함될 수 있다며 정보 제공을 거부했다. A씨와 B씨의 유심 기변이 일어난 장소를 ‘기지국 정보’로 확인하면 복사된 유심의 실제를 확인할 수 있음에도 KT는 해당 정보 제공을 거부한 것이다. 예를 들면, 서울에 사는 A씨의 유심 기변이 지방에서 일어나고, 다시 서울에서 일어났다면 실질적으로 전산상 동일한 유심 2개가 확인될 수 있기 때문이다.

이에 피해자 A씨는 개인정보보호위원회 개인정보분쟁조정위원회에 문의한 결과 순수한 개인정보일 경우 본인에게 제공하는 것이 맞다는 답변과 함께 KT에 관련 정보를 제공할 것을 요청했다는 연락을 16일 받았다고 본지에 알려왔다. 하지만 KT는 아직까지 답변이 없다고 A씨는 밝혔다.

한편, KT는 이번 사건을 인지하고 있으며 경찰에 고발해 수사에 적극 협력하고 있고, 내부적으로 대응조치를 취하고 있다면서도 현재 수사 중인 사건이기 때문에 자세하게 설명하기 어렵다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)