심 스와핑 통해 수백만 암호화폐 훔쳐낸 20대, 공항서 검거

심 스와핑 사용해 암호화폐 훔친 첫 사례...피해자는 40여명
신고 들어오지 않으면 움직일 수 없어...경찰은 피해 제보 촉구

[보안뉴스 문가용 기자] 심 스와핑(SIM Swapping) 혹은 심 하이재킹(SIM Hijacking)을 통한 암호화폐 도난 사건이 처음으로 발생했다. 20세의 청년 조엘 오티즈(Joel Ortiz)가 저지른 짓으로, 약 40명의 피해자로부터 총 5백만 달러의 암호화폐를 훔쳐냈다고 한다. 현재 경찰은 오티즈로부터 공범들의 존재를 파악하고 있다.

[이미지 = iclickart]

오티즈와 그 동료들은 범행을 벌이며 암호화폐나 블록체인에 적극 참여하고 있는 사람들을 집중적으로 노렸다고 한다. 지난 5월 뉴욕에서 열린 컨센서스(Consensus) 컨퍼런스에서 참가자들 일부를 해킹한 것으로 알려져 있다. 컨센서스는 암호화폐와 블록체인을 주제로 한 세계 최대의 행사 중 하나다.

심 스와핑 공격이란 통신사를 속여서 피해자의 전화번호를 범죄자들의 손에 있는 심카드로 이동시키게 만드는 것이다. 이런 식으로 전화번호를 훔쳐낸 범죄자들은 이 번호를 가지고 비밀번호를 재설정하고, 온라인 계정을 침해하기 시작한다. 이 때 암호화폐 지갑은 맛 좋은 먹잇감이 된다. 이중 인증도 뚫어낼 때가 있어 공격자들 사이에서 서서히 인기가 올라가고 있다. 게다가 공격 난이도도 낮은 편에 속한다.

경찰에 의하면 오티즈는 심 스와핑 공격을 빈번하게 사용해왔다고 한다. 암호화폐를 훔치는 것만 아니라 소셜 네트워크 계정도 훔쳤는데, 이 계정을 암시장 같은 곳에서 비트코인을 받고 팔기도 했다. 특히 오그유저스(OGUSERS)라는 인스타그램 및 트위터 계정 거래 사이트에서 활발히 활동한 멤버이기도 했다고 전해진다.

해외 IT 매체 머더보드(Motherboard)는 컨센서스 컨퍼런스에서 해킹을 당한 한 사업가를 만나 인터뷰하기도 했다. 익명을 원한 그 사업가는 머더보드를 통해 “전화기가 갑자기 죽어있는 걸 발견했다”며 “바로 전날 동료가 똑같은 일을 겪었기에, 곧바로 해킹 공격인 걸 감지했다”고 말했다. 바로 근처 AT&T 매장으로 달려갔지만, 이미 늦었다고 한다. 오티즈는 이미 그 사업가의 암호화폐 지갑으로부터 150만 달러를 뺏어간 상태였다.

머더보드에 의하면 경찰은 비슷한 피해를 입은 암호화폐 투자가의 신고를 받고 오티즈를 본격적으로 추적하기 시작했다. 오티즈는 투자가의 전화번호를 두 차례나 훔쳐갔으며, 투자가의 전화번호를 통해 배우자와 자녀, 친구들에게 직접 메시지를 보내 “아빠한테 말해서 비트코인을 보내라”고 요구하기도 했다.

경찰은 영장을 신청해 통신사 AT&T에 해당 번호를 추적했다. AT&T가 건넨 정보로 두 대의 삼성 안드로이드 전화기를 파악해냈다. IMEI 번호를 통해 이 전화기를 정확히 식별하는 데까지도 성공했다. 피해자인 암호화폐 투자가가 사용하던 전화기가 아니었다. 해커들의 전화기가 분명하다고 경찰은 결론을 내렸다. 추적을 더해 해당 전화기들과 관련이 있는 지메일 계정과 마이크로소프트 라이브 계정 등을 찾아냈다.

경찰은 또 다른 영장을 신청해 구글으로부터 정보를 협조 받았다. 그래서 오티즈라는 인물과 그간 그가 벌인 범죄 활동과 관련된 증거들을 찾아낼 수 있었다. 오티즈의 지메일 계정에는 오티즈 자신의 셀카 사진과 심 스와핑 기법에 대해 자세히 기록된 메일이 포함되어 있었기 때문이다. 심지어 tw-tter.com이라는 도메인을 구매한 기록도 나왔다. 오티즈는 피싱 공격을 계획하고 있었던 것으로 보인다.

그가 사용한 암호화폐 거래소도 수사했다. 그 결과 그는 코인베이스(Coinbase), 비트렉스(Bittrex), 바이넌스(Binance) 등의 거래소에서 약 1백만 달러에 해당하는 비트코인을 거래하거나 이동시켰다는 사실을 파악해냈다. 그중 25만 달러 정도를 회수하는 데 성공했지만, 그 돈이 전부 범죄로 벌어들인 것인지는 아직 다 밝혀내지 못하고 있다. 그 외에 AT&T를 통해 오티즈의 삼성 폰 두 개와 엮인 전화번호를 약 40개 추가로 적발하기도 했다.

그리고 마침내 이탈리아행 비행기를 타려는 오티즈 본인을 LA 국제공항에서 체포하는 데 성공했다. 당시 그는 고가의 구찌 가방을 들고 있었다고 한다.

이 과정에서 오그유저스라는 타인 계정 거래 사이트가 반쯤 폭파되기도 했다. 커뮤니티 내에서 오티즈가 체포됐다는 소식이 빠르게 전파되기 시작하면서 회원들이 하나 둘 떠난 것이다. 심지어 운영자들 가운데서도 오그유저스를 떠나 모습을 감춘 이들이 있을 정도라고 한다.

한편 경찰 당국은 “심 스와핑 공격이 범죄자들 사이에서 널리 퍼지고 있다고 하는데, 신고가 들어온 사례는 굉장히 적다”며 “신고를 하고 제보를 받아야만 경찰도 움직일 수 있기 때문에 심 스와핑에 당한 피해자라면 꼭 신고를 해달라”고 당부했다.

3줄 요약
1. 심 스와핑은 통신사로부터 피해자의 전화번호 훔쳐내는 공격.
2. 훔쳐낸 전화번호 가지고 여러 계정 침해하기 시작하는데, 암호화폐 지갑도 여기에 포함됨.
3. 비싼 구찌 가방 들고 이탈리아로 가던 범죄자, 공항에서 체포됨.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)