심 스왑 공격으로 3백만 달러 잃은 투자자, AT&T 고소

신원 도용 통해 AT&T 직원이 고객 계정에 접근, 암호화폐 불법 송금
“AT&T가 약속을 지키지 않았다” vs. “위험 추정의 원칙 때문에 입증 어렵다”

[보안뉴스 문가용 기자] 암호화폐 투자자와 사업가가 대형 통신 회사인 AT&T를 고소했다. 이른바 심 스왑(SIM SWap)이라는 공격을 AT&T가 허용하는 바람에 2380만 달러를 잃었다는 것이 그 이유다.

[이미지 = iclickart]

고소한 사람의 이름은 마이클 터핀(Michael Terpin)으로, 사기, 중과실, 프라이버시 침해, 고객 기록에 대한 비승인 유출, 서약 불이행, 직원에 대한 배경 조사 및 감독 실패 등 16건의 죄목으로 통신계 거인에 대해 소송을 걸었다. 그가 문을 두드린 곳은 LA 지방법원인 것으로 알려져 있다.

사건은 2018년 1월 7일로 거슬러 올라간다. AT&T 요원이 신원 도용을 통해 터핀의 핸드폰과 연동된 계정에 승인 없이 접근했다고 터핀은 주장한다. 그리고 이를 통해 300만불이 넘는 암호화폐 토큰을 터핀의 계정에서 다른 곳으로 전송했다. 전송된 계좌는 국제 범죄단의 소유인 것으로 알려져 있다. 여러 연방 및 지방 사법 기관들이 추적하고 있는 단체라고 한다.

터핀은 “AT&T가 침해가 불가능한 수준의 보안을 약속했다”며 “그 전 해에 발생한 심 스왑 사기 공격이 다시는 일어나지 않도록 변경이 불가능한 고유 비밀번호를 사용했다고 설명해줬다”고 주장했다. 여기서 터핀이 말하는 심 스왑 공격을 감행한 일당들은 2018년 7월에 체포됐다. 그 중 한 명은 2백만 달러의 수익을 거둔 것으로 밝혀졌다.

하지만 일부 보안 전문가들은 터핀의 마음은 이해가 가지만 주장하는 바가 조금은 지나칠 수 있다는 의견이다. 보안 업체 원스팬(OneSpan)의 CMO인 존 건(John Gunn)은 “만약 통신사나 인터넷 제공 업체, 모바일 네트워크 운영자가 네트워크를 통해 벌어진 각종 금융 사기에 대한 책임을 ‘전액’ 수준으로 져야 한다면, 아마 사업을 유지할 수 있는 곳은 없을 것”이라는 의견이다.

“위험 추정의 원칙(doctrine of assumed risk) 아래에 이번 사건을 본다면 원고가 ‘온라인 거래와 같은 행위를 위해 네트워크를 사용함에 있어서 그러한 위험이 당연히 존재한다는 걸 인지하고 있지 못했다’는 걸 입증해야 할 텐데, 그게 쉽지 않을 겁니다.”

보안 업체 콤패리테크(Comparitech)의 프라이버시 고문인 폴 비쇼프(Paul Bischoff)는 “심 재킹이나 심 스왑 공격은 이중 인증에 대한 도입이 증가하면서, 그에 대한 대응으로 발생하기 시작한 것”이라고 지적한다.

“AT&T 매장에서 근무하는 직원들이라면 사실상 자유롭게 심 스왑 공격을 할 수 있습니다. 마음만 먹으면 엉뚱한 전화번호를 다른 기기에 전송시킬 수 있다는 것입니다. 이러한 일이 발생할 때 사용자들은 절대 알 수가 없습니다. 앞으로도 매장 직원을 유혹하거나 위장 취업하는 사기꾼들이 늘어날 겁니다. 심 스왑 공격은 크게 유행할 것이라고 봅니다.”

비쇼프는 “구글 오센티케이터(Google Authenticator)나 오시(Authy)와 같은 앱을 사용하는 것이 좋다”고 권장한다. “이중 인증을 도입하는 데 있어서 문자를 기반으로 하는 건 심 스왑에 당할 가능성이 높습니다. 구글 보이스(Google Voice) 등 인간의 중간 개입이 하나도 없이, 완전 자동화가 된 서비스를 사용하는 것도 한 가지 방법일 수 있습니다.”

3줄 요약
1. 통신사가 제공해주는 심 카드를 중간에 조작하면, 심 재킹 및 심 스왑 공격 감행 가능.
2. 비밀번호와 문자를 기반으로 한 이중 인증 늘어나자 생긴 새로운 공격법.
3. 이중 인증 중에서도 문자를 기반으로 한 것은 취약함.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)