[단독] 국내 심스와핑 3번째 피해자 발생... KT 사용자 또 ‘스마트폰 먹통’

2022-01-18 21:50
  • 카카오톡
  • 네이버 블로그
  • url
피해자 C씨, 지난 16일 스마트폰 먹통돼... 코인 탈취 시도됐지만 다행히 피해는 없어
KT 대리점에서 본인 유심과 전산상 다른 스마트폰에서 사용 중인 유심 확인


[보안뉴스 원병철 기자] <보안뉴스>가 지난 1월 5일 첫 단독 보도한 ‘[단독] KT 고객 유심 복사로 암호화폐 탈취? 국내 첫 심스와핑 의심 피해 발생’ 기사 이후 불과 10일 만에 두 번째 피해자와 세 번째 피해자가 연이어 발생했다. 공교롭게도 피해자 3명 모두 KT 사용자이며, 모두 가상자산 거래소를 이용하고 있었다.


▲피해자 C씨가 KT 상담톡 등을 통해 확인한 유심 기변 정황[자료=보안뉴스]

국내 심스와핑 추정 3번째 피해자 발생
이번에 발생한 세 번째 피해자는 지난 1월 16일 일요일 공격을 받았다. 일요일 아침 느지막이 일어난 피해자 C씨는 스마트폰 신호가 잡히지 않고 카카오톡이 접속 불능이 된 것을 확인했다. 특히, 새벽 6시 11분 코레일에서 본인확인 인증번호가 문자로 수신된 것을 보고 스마트폰을 몇 차례 재부팅을 했지만, 기존 사례와 달리 C씨의 스마트폰은 정상으로 돌아오지 않았다.

이에 12시경 인근 대리점을 방문해 휴대폰을 조회한 결과, 오전 6시경 유심이 전산상 다른 휴대폰으로 옮겨진 것으로 확인됐고, 대리점 직원의 스마트폰에 끼워봤지만 역시나 작동하지 않았다.

오후 2시경에는 KT 고객센터에 전화를 걸어 사건을 설명한 후, 일요일이라 당일 유심 교체가 가능한 KT 프라자가 없어 부득이 유심을 정지했다.

피해자 C씨는 “중간 중간 카카오톡과 다음 메일에 접속해 변경된 비밀번호를 바꾸려고 했지만, 휴대폰이 정지돼 문자를 받을 수 없어 실패했다”면서, “주말에는 아예 연락이 되지 않아 계정 정지도 못했는데, 이에 대한 대책이 필요해 보인다”고 설명했다.

특히, C씨는 <보안뉴스> 기사를 통해 ‘심스와핑’ 범죄를 인식하고 이용하고 있던 가상자산 거래소 코인원과 업비트에 접속해 상태를 확인했는데, 다행히 코인에는 문제가 없었다. 그런데 문제없이 접속되던 업비트가 오후 5시경 갑자기 접속불가 상태로 바뀌었다. 다행스러운 건 코인원에서는 ‘크리덴셜 스터핑’으로 추측되는 외부의 접근 시도가 있었다며 출금 제한 상태로 전환시켜 피해는 입지 않았다는 사실이다. 업비트는 C씨가 직접 해킹신고센터를 통해 계좌 동결을 진행했다.

다음 날인 17일 오전 9시, KT프라자를 방문해 확인해보니 16일 새벽 6시경 유심 이동이 있었다는 사실을 재확인했다. 즉, 실제 유심은 피해자의 스마트폰에 꼽혀 있었지만, 전산상 유심은 다른 스마트폰에 꼽혀 있었던 것이다. KT도 1월 16일 새벽 6시 12분 유심기변 이력을 조회해 줬으며, 이러한 사실은 KT대리점과 KT프라자를 통해서 확인된 상황이다.

주목할 점은 첫 번째 피해자인 A씨가 처음 피해를 입은 후 <보안뉴스>에 제공한 자료에 따르면 홈페이지나 마이케이티 앱을 통해서 ‘개통 이력 조회’를 하면 기존 휴대폰 개통 이력 조회를 확인할 수 있었는데, 사건이 보도된 후 다시 확인해보니 가장 최근 정보만 확인이 가능했다. 이에 대해 KT 상담원은 “마이케이티 앱과 KT 닷컴을 통해 개통 이력 조회를 할 경우 현재 기기에 대한 정보만 조회가 가능하며, 이전 내역은 확인하기 어렵다”고 답변했다. 이 때문에 피해자 C씨는 KT 상담톡 앱을 통해 별도로 유심 기변 이력을 문의한 후에야 16일 새벽 6시 12분에 유심 기변 이력이 있다는 것을 확인받을 수 있었다.

KT “사건에 대해 인지하고 있고, 수사 협조 및 내부 대책 마련 중”
이번 피해자 C씨의 사례를 통해 실제 피해자의 유심과 공격에 사용된 복제 유심이 각각 존재하는 것이 확인됐다. C씨의 유심이 먹통이 된 상황에서 공격자의 활동이 계속 감지됐기 때문이다. 게다가 먹통이 된 C씨의 유심은 KT 대리점과 KT 프라자에서도 확인할 수 있었다.

일련의 사건들이 ‘심스와핑’으로 결론나기 위해서는 피해자의 동일한(복제된) 유심이 존재한다는 것이 확인돼야 하는데, 이번 사건으로 어느 정도 확인이 된 셈이다. 이와 관련 피해자 A씨와 B씨는 KT에 유심 기변이 일어났던 당시의 ‘기지국 정보’를 요청했는데, KT는 개인정보가 포함될 수 있다며 정보 제공을 거부했다. A씨와 B씨의 유심 기변이 일어난 장소를 ‘기지국 정보’로 확인하면 복사된 유심의 실제를 확인할 수 있음에도 KT는 해당 정보 제공을 거부한 것이다. 예를 들면, 서울에 사는 A씨의 유심 기변이 지방에서 일어나고, 다시 서울에서 일어났다면 실질적으로 전산상 동일한 유심 2개가 확인될 수 있기 때문이다.

이에 피해자 A씨는 개인정보보호위원회 개인정보분쟁조정위원회에 문의한 결과 순수한 개인정보일 경우 본인에게 제공하는 것이 맞다는 답변과 함께 KT에 관련 정보를 제공할 것을 요청했다는 연락을 16일 받았다고 본지에 알려왔다. 하지만 KT는 아직까지 답변이 없다고 A씨는 밝혔다.

한편, KT는 이번 사건을 인지하고 있으며 경찰에 고발해 수사에 적극 협력하고 있고, 내부적으로 대응조치를 취하고 있다면서도 현재 수사 중인 사건이기 때문에 자세하게 설명하기 어렵다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기