단독 보도 ‘KT 고객 유심 복사로 암호화폐 탈취? 국내 첫 심스와핑 의심 피해 발생’ 피해자 인터뷰
KT 유심기변은 확인...피해자 스마트폰이 꺼진 시간과 유심기변이 일어났던 시간 및 위치 확인 필요

[보안뉴스 원병철 기자] 새해 첫 주, <보안뉴스>에 전 세계적으로도 매우 드문 유형의 가상자산(암호화폐) 탈취 사건에 대한 제보가 접수됐다. 이른바 ‘심스와핑(SIM Swapping)’ 공격을 받았다는 내용이었다. 유심 칩의 정보를 훔쳐 ‘복사 유심’을 만든 뒤, 이를 다른 스마트폰에 장착해 똑같은 복제 전화기를 만들고, 이를 이용해 비밀번호 변경이나 2차 인증 등을 통해 피해자의 권한을 빼앗는 심스와핑은 해외에서도 몇 건 알려지지 않은 범죄다. 그런데 한국에서 이러한 공격이 발생했고, 그로 인해 사용하고 있던 가상자산 거래소의 사용 권한을 탈취 당해 약 100만 원가량의 피해를 입었다는 내용이었다. 단독 보도 이후, <보안뉴스>는 피해자를 직접 만나 이번 사건에 대해 자세하게 물어봤다. 피해자 보호를 위해 피해자의 신원이나 실명은 밝히지 않았다.


[이미지=utoimage]

먼저 이번 사건에 대해 간략하게 설명해 달라
처음 사건이 발생한 것은 지난 2021년 12월 23일이었다. 자고 일어나서 습관적으로 스마트폰을 봤는데, ‘신호 없음’이라는 표시와 함께 셀룰러 안테나가 없더라. 순간 당황해서 스마트폰을 껐다 켜보고, 그래도 안 돼서 유심을 다시 꼽은 후, 껐다 켜니 되더라. 나중에 보니 네이버의 비밀번호가 변경됐단 것을 알았지만, 워낙 외부 공격이 흔한 터라 그러려니 넘어갔다.

그런데 다음날 아침인 24일에도 같은 일이 발생해 뭔가 이상하다는 생각을 했다. 그런데 이번에는 카카오톡이 다른 기기에서 접속됐단 알림이 왔더라. 혹시나 하는 마음에 점심시간에 주변 KT플라자를 방문해 유심을 새로 발급받고 기존 유심은 버렸다. 그리고 퇴근 후 PC에 접속해보니 마이크로소프트 계정에서 일회용 코드가 발급됐고, 네이버와 카카오의 비밀번호가 변경됐더라. 혹시나 하는 마음에 주로 이용하던 업비트에 접속해보니 문제가 없었는데, 최근에는 잘 사용하지 않던 코인원에서 기존 암호화폐를 팔고 이더리움을 구입한 후 다른 지갑으로 전송한 내용이 떴다. 최근엔 전혀 들어가 보지도 않았는데 말이다. 최근 가격이 많이 하락해 피해액은 약 100만 원가량이었지만, 사실 직장인 입장에서 100만원도 큰돈이라 심적으로 큰 충격을 받았다.

경찰이나 통신사 KT, 가상자산 거래소 코인원에 신고는 했나
가장 가까운 경찰서에 신고를 했고, 통신사인 KT와 피해를 입은 가상자산 거래소 코인원에도 신고를 했다. 하지만 KT는 내 유심이 다른 단말기에 장착된 후 다시 변경된 것뿐이라면서 내 말을 믿어주지 않았고, 경찰서에서 확인하라는 답변을 줄 뿐이었다. 코인원 역시 정상적인 로그인을 통해서 거래가 이루어졌다는 답변만 할 뿐이었다. 이번 사건으로 충격을 많이 받았는데, 피해자인 나를 거짓말하는 사람으로 취급하는 두 기업에 더 화가 났다.


▲유심 기변을 알려주는 카카오 중국어 메시지. 하단 영문의 비밀번호 변경 알림은 피해자가 비밀번호를 변경하고 받은 알림이다[자료=보안뉴스]
심스와핑은 국내에선 검색도 잘 안될 정도도 사람들이 잘 모르는데, 어떻게 알고 제보했나
나는 평범한 직장인이다. IT와 관련된 일을 하지도 않고, 단순히 용돈벌이 정도로 가상자산에 약간 투자하는 정도다. 그런데 이번 사건을 당하고 나서 너무 화가 나고 억울해서 이것저것 알아보게 되더라. 심스와핑 역시 그렇게 알게 됐고, <보안뉴스>에도 제보하게 됐다.

국내 전문가들도 심스와핑은 발생하기 힘든 범죄라고 말한다. 더구나 국내 최초 피해라고 하기에는 피해 규모도 작다
나도 그게 이상하다. 혼자 알아보면서 ‘왜 내가 피해를 입었을까’ 생각이 들었다. 나한테는 큰돈이지만, 범죄자들한테는 기껏 백만 원일 텐데, 왜? 해외 기사의 사례만 봐도 트위터 CEO 정도의 거물들이 피해를 입었던데, 이상하다는 생각을 했다. 또한, 기자님과 통화하면서 또 다른 방법으로 스마트폰의 통신기록을 탈취할 수 있다는 것도 들었다.

하지만 중요한 건 분명 유심 기변이 일어났다는 거다. 이것은 KT에서도 확인해 준 거다. 내가 했는지, 아니면 다른 사람이 했는지는 서로 입장이 다르지만, 분명 내 유심을 내 핸드폰에서 뽑아 다른 핸드폰에 꼽아서 켰다는 것은 분명하다. 참고로 카카오톡 로그인 기록을 보면 노트10 5G라고 핸드폰 기종까지 나온다.

이에 나는 KT에 ‘유심 기변’ 당시의 GPS 정보, 혹은 기지국 정보를 알려달라고 부탁했다. 기존 스마트폰에서 유심이 빠진 시간과 장소를 알 수 있고, 새로운 스마트폰에 유심이 꼽혀 유심 기변이 일어난 시간과 장소를 알 수 있다면, 이게 현실적으로 발생할 수 있는지 알 수 있으니까 말이다. 쉽게 말하면 서울에서 유심이 뽑히고 몇 초 만에 지방에서 유심 기변이 일어났다면 물리적으로는 불가능한 일이니까 유심 불법복제를 증명할 수 있게 되기 때문이다. 문제는 KT에서 유심 기변이 발생한 시간과 장소 정보를 알려주지 않고 있다.

카카오톡에서 새로운 로그인 정보를 검색했을 때 중국어가 보였다고 하는데
카카오톡에서 유심 기변을 했다는 내용을 받았는데, 이때 알림이 중국어로 왔다. 카카오에 문의했더니 스마트폰의 언어가 ‘중국어’일 경우 스마트폰의 위치와 상관없이 중국말로 알림이 온다는 답변을 들었다.

보유하고 있던 암호화폐를 쥐도 새도 모르게 탈취 당했는데
공격자들이 코인원에 보유하고 있던 암호화폐를 판매한 후, 이더리움을 구입해 자신의 지갑으로 전송했다. 전송내역을 확인해보니 3번 정도 지갑을 이동했고, 현재 한 지갑에 멈춰 있는 것을 확인했다. 그런데 사건이 꽤 지난 지금까지도 인출하지 않고 있다. 그 이후 이더리움의 가격이 떨어지고 있는데도 멈춰있는 걸 보면 무언가 사정이 있는 게 아닐까 추측하고 있다.

마지막으로 하고 싶은 말이 있다면
처음 사건을 겪었을 때 정말 놀라고 마음이 아팠다. 게다가 KT와 코인원에서 내가 겪은 일을 인정하지 않고 정상적인 움직임만 있었다고 강조하면서 요청한 기지국 정보 등은 제공해 주지 않는 것에 많이 화가 났다. 나는 고객이고 피해자인데, 왜 이런 취급을 받고 있는 것인지 따져 묻고 싶다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>