피해액 가장 높은 두 명의 피해자들, KT에 기지국 등 자료제공 청구 소송
첫 번째 피해자, 개인정보 분쟁조정에서 2번 승소하고도 KT로부터 기지국 정보 자료 못 받아
[보안뉴스 원병철 기자] 지난 2022년 1월 5일, <보안뉴스>가 단독 보도한 ‘[단독] KT 고객 유심 복사로 암호화폐 탈취? 국내 첫 심스와핑 의심 피해 발생’ 기사 이후, 국내 첫 심스와핑 사례로 의심되는 이번 범죄가 여러 매체를 통해 알려졌다. 특히, 첫 번째 피해자 외에도 피해자가 계속 양산됐고, 일각에서는 30명 이상의 피해자가 경찰에 피해사실을 신고한 상황이라는 주장도 제기됐다.
▲법원에 기지국 정보를 요청한 피해자들(왼쪽)과 피해자에게 기지국 정보를 제공하라고 조정한 개인정보분쟁조정위원회[자료=보안뉴스]
심스와핑은 스마트폰에 장착된 유심(u-SIM) 칩의 정보를 훔쳐 ‘복사 유심’을 만든 뒤, 이를 다른 스마트폰에 장착해 똑같은 복제 전화기를 만드는 공격을 말한다. 통신사와 스마트폰은 기존 유심을 새로운 폰에 장착해 기기 변경을 했다고 판단하고, 나중에 동작한 복사된 유심을 실제 유심으로 인식하기 때문에, 실제 고객이 보유한 유심과 전화기는 통신이 끊어지게 된다. 이 때문에 이번 심스와핑 공격은 피해자가 통신이 끊어지는 것을 인식하지 못하도록 새벽시간대에 주로 이뤄졌다.
첫 번째 피해자는 2021년 12월 23일과 24일 새벽 연속으로 공격을 받았다. 피해자 A씨는 아침에 일어나보니 스마트폰의 통신이 연결되지 않았고, 누가 몰래 네이버와 카카오에 접속해 비밀번호를 변경하고, 이를 통해 가상자산 거래소에 접근해서 100여만 원에 달하는 암호화폐를 빼갔다. 피해자 A씨는 이러한 사실을 통신사인 KT와 가상자산 거래소 코인원에 신고했지만, 국내에 잘 알려지지 않은 새로운 범죄이다 보니 별다른 대응이나 대책을 안내받지 못했다.
<보안뉴스>가 사건을 보도한 후, 2022년 1월 12일에 또 다른 피해자가 발생했다. 피해자 B씨는 <보안뉴스>에 A씨와 유사한 방법으로 공격을 받았고, 2,000여만 원의 암호화폐를 탈취당하는 피해를 입었다고 밝혔다. 특히, B씨도 A씨와 마찬가지로 통신사는 KT를, 암호화폐가 빠져나간 거래소는 코인원을 사용했다.
세 번째 피해자 C씨는 2022년 1월 16일 일요일에 공격을 받았다. 공격 수법은 같았지만 C씨의 스마트폰은 앞선 A씨와 B씨와 달리 유심을 뺐다가 꼽아도 정상으로 돌아오지 않았다. 특히, 인근 대리점에서 직원의 유심을 꼽아봐도 작동하지 않았다고 C씨는 설명했다. 역시나 통신사는 KT를 사용했고, 코인원에서 암호화폐를 거래했지만, 다행히 코인원이 외부 접근이 의심스럽다며 출금 제한 상태로 전환시켜 피해를 예방할 수 있었다.
이어 네 번째 피해자 D씨와 다섯 번째 피해자 E씨도 <보안뉴스>에 피해를 호소했다. 특히, 다섯 번째 피해자 E씨는 시기상으로는 첫 번째 피해자와 같은 2021년 12월 24일 공격을 받았으며, 퇴직금 등 약 2억 원대의 암호화폐를 탈취당한 것으로 알려졌다.
기기 변경이 이뤄졌을 때 유심의 기지국 정보가 쟁점
이번 사건의 첫 번째 쟁점은 이것이 ‘심스와핑 범죄인가 아닌가’였다. 우선 유심 복사 자체는 가능하다. 예를 들어, 유심이나 스마트폰을 잃어버리거나, 유심이 깨지거나 물에 젖는 등 사용할 수 없을 때 통신사에서 고객에게 새 유심을 발급해주면서 기존 고객의 유심정보를 그대로 옮겨주는 서비스가 있다. 즉, 유심 복사는 대리점에서도 할 수 있는 서비스인 셈이다. 다만, 유심 복사를 진행할 때는 ‘어느 대리점’에서 ‘직원 아무개’가 ‘고객 아무개’의 정보를 새로운 ‘유심’에 복사하고, 기존 ‘유심’은 삭제한다는 내용이 통신사의 전산 시스템에 기록된다.
▲피해자들의 유심 기변이 같은 날 여러 번 이뤄졌다는 정황들[자료=보안뉴스]
그런데 심스와핑의 경우 이러한 기록이 남지 않아 같은 유심이 2개가 되어 버린다. 이 때문에 복사한 유심을 휴대폰에 끼운 채 전원을 껐다 켜면 전산상으로는 ‘기기 변경’이 이뤄진 것으로 기록된다. 피해자와 공격자의 휴대폰이 서로 다르기 때문이다. 즉, 피해자가 잠을 자고 있을 때 공격자가 복사한 유심을 휴대폰에 넣고 전원을 껐다가 켜면, 전산상으로 기기 변경이 이뤄진 것으로 판단하고 공격자의 휴대폰이 정상 동작하며, 피해자의 휴대폰은 ‘먹통’이 된다. 반대로 피해자가 먹통이 된 휴대폰이 이상해 유심을 뺐다가 다시 넣고 전원을 다시 켜면, 이번엔 공격자의 휴대폰이 먹통이 된다. 실제로 두 번째 피해자 B씨는 이러한 방법으로 새벽에 공격자와 몇 번 통신 주도권 싸움을 벌였던 것으로 드러났다.
전산상 해킹의 흔적이 없기 때문에 통신사인 KT는 이번 사건을 단순한 ‘기기 변경’으로 보고 피해자에게 별다른 대응을 하지 않았다. 이에 피해자들은 KT에게 기기 변경이 일어났을 때 기지국 위치를 알려달라고 요청했다. 복사된 유심으로 통신 주도권이 옮겨졌을 때, 피해자와 공격자의 기지국 위치 정보가 서로 다르다면 이는 심스와핑으로 볼 수 있기 때문이다. 예를 들면, 피해자 A씨가 사용할 때 ‘서울’에 있었는데, 공격자가 복제된 유심을 사용해 휴대폰을 켜서 기기 변경이 이뤄졌을 때의 위치가 ‘부산’이라면 유심이 2개인 것을 확인할 수 있기 때문이다. 이것이 바로 두번째 쟁점인 ‘기지국 정보’다.
문제는 KT가 피해자들이 요청한 이 기지국 정보를 타인의 개인정보가 포함됐다며 알려주지 않으면서 발생했다. 이에 피해금액이 큰 두 번째 피해자 B씨와 다섯 번째 피해자 E씨는 법무법인을 통해 ‘기지국 등 자료를 제공하라’며 소송을 제기했다.
또한, 최초의 피해자인 A씨는 개인정보보호위원회 산하 개인정보분쟁조정위원회(이하 위원회)를 통해 정보 제공을 요구했다. 최초 개인정보 분쟁조정에서는 KT에게 기지국 정보를 제공하라고 조정했지만, KT는 문자를 수신한 기지국 정보는 제3자의 기지국 정보이기 때문에 제공할 수 없다고 거부했다.
이에 A씨는 위원회에 다시 분쟁조정을 요청했고, 결정일(4월 28일)로부터 10일 이내 신청인(피해자 A씨) 휴대전화 기지국 접속 정보를 제공하라고 다시 조정했다. 조정안에 따르면 개인정보보호법에 따라 개인정보 처리자가 정보주체의 개인정보 열람 요구를 받았을 때는 정당한 사유가 없는 한 10일 이내에 정보주체가 해당 개인정보를 열람할 수 있도록 해야 한다며, 다시금 정보를 제공하라고 결론을 내렸다.
이와 관련 피해자 A씨는 “조정안이 법적 강제력이 없기 때문에 이번에도 KT는 별도로 답변을 하지 않을 것 같다”며, “다만 위원회에서 이러한 조정안을 권고한 만큼 현재 소송 중인 다른 피해자들에게 도움이 됐으면 좋겠다”고 말했다.
[원병철 기자(boanone@boannews.com)]
첫 번째 피해자, 개인정보 분쟁조정에서 2번 승소하고도 KT로부터 기지국 정보 자료 못 받아
[보안뉴스 원병철 기자] 지난 2022년 1월 5일, <보안뉴스>가 단독 보도한 ‘[단독] KT 고객 유심 복사로 암호화폐 탈취? 국내 첫 심스와핑 의심 피해 발생’ 기사 이후, 국내 첫 심스와핑 사례로 의심되는 이번 범죄가 여러 매체를 통해 알려졌다. 특히, 첫 번째 피해자 외에도 피해자가 계속 양산됐고, 일각에서는 30명 이상의 피해자가 경찰에 피해사실을 신고한 상황이라는 주장도 제기됐다.
▲법원에 기지국 정보를 요청한 피해자들(왼쪽)과 피해자에게 기지국 정보를 제공하라고 조정한 개인정보분쟁조정위원회[자료=보안뉴스]
심스와핑은 스마트폰에 장착된 유심(u-SIM) 칩의 정보를 훔쳐 ‘복사 유심’을 만든 뒤, 이를 다른 스마트폰에 장착해 똑같은 복제 전화기를 만드는 공격을 말한다. 통신사와 스마트폰은 기존 유심을 새로운 폰에 장착해 기기 변경을 했다고 판단하고, 나중에 동작한 복사된 유심을 실제 유심으로 인식하기 때문에, 실제 고객이 보유한 유심과 전화기는 통신이 끊어지게 된다. 이 때문에 이번 심스와핑 공격은 피해자가 통신이 끊어지는 것을 인식하지 못하도록 새벽시간대에 주로 이뤄졌다.
첫 번째 피해자는 2021년 12월 23일과 24일 새벽 연속으로 공격을 받았다. 피해자 A씨는 아침에 일어나보니 스마트폰의 통신이 연결되지 않았고, 누가 몰래 네이버와 카카오에 접속해 비밀번호를 변경하고, 이를 통해 가상자산 거래소에 접근해서 100여만 원에 달하는 암호화폐를 빼갔다. 피해자 A씨는 이러한 사실을 통신사인 KT와 가상자산 거래소 코인원에 신고했지만, 국내에 잘 알려지지 않은 새로운 범죄이다 보니 별다른 대응이나 대책을 안내받지 못했다.
<보안뉴스>가 사건을 보도한 후, 2022년 1월 12일에 또 다른 피해자가 발생했다. 피해자 B씨는 <보안뉴스>에 A씨와 유사한 방법으로 공격을 받았고, 2,000여만 원의 암호화폐를 탈취당하는 피해를 입었다고 밝혔다. 특히, B씨도 A씨와 마찬가지로 통신사는 KT를, 암호화폐가 빠져나간 거래소는 코인원을 사용했다.
세 번째 피해자 C씨는 2022년 1월 16일 일요일에 공격을 받았다. 공격 수법은 같았지만 C씨의 스마트폰은 앞선 A씨와 B씨와 달리 유심을 뺐다가 꼽아도 정상으로 돌아오지 않았다. 특히, 인근 대리점에서 직원의 유심을 꼽아봐도 작동하지 않았다고 C씨는 설명했다. 역시나 통신사는 KT를 사용했고, 코인원에서 암호화폐를 거래했지만, 다행히 코인원이 외부 접근이 의심스럽다며 출금 제한 상태로 전환시켜 피해를 예방할 수 있었다.
이어 네 번째 피해자 D씨와 다섯 번째 피해자 E씨도 <보안뉴스>에 피해를 호소했다. 특히, 다섯 번째 피해자 E씨는 시기상으로는 첫 번째 피해자와 같은 2021년 12월 24일 공격을 받았으며, 퇴직금 등 약 2억 원대의 암호화폐를 탈취당한 것으로 알려졌다.
기기 변경이 이뤄졌을 때 유심의 기지국 정보가 쟁점
이번 사건의 첫 번째 쟁점은 이것이 ‘심스와핑 범죄인가 아닌가’였다. 우선 유심 복사 자체는 가능하다. 예를 들어, 유심이나 스마트폰을 잃어버리거나, 유심이 깨지거나 물에 젖는 등 사용할 수 없을 때 통신사에서 고객에게 새 유심을 발급해주면서 기존 고객의 유심정보를 그대로 옮겨주는 서비스가 있다. 즉, 유심 복사는 대리점에서도 할 수 있는 서비스인 셈이다. 다만, 유심 복사를 진행할 때는 ‘어느 대리점’에서 ‘직원 아무개’가 ‘고객 아무개’의 정보를 새로운 ‘유심’에 복사하고, 기존 ‘유심’은 삭제한다는 내용이 통신사의 전산 시스템에 기록된다.
▲피해자들의 유심 기변이 같은 날 여러 번 이뤄졌다는 정황들[자료=보안뉴스]
그런데 심스와핑의 경우 이러한 기록이 남지 않아 같은 유심이 2개가 되어 버린다. 이 때문에 복사한 유심을 휴대폰에 끼운 채 전원을 껐다 켜면 전산상으로는 ‘기기 변경’이 이뤄진 것으로 기록된다. 피해자와 공격자의 휴대폰이 서로 다르기 때문이다. 즉, 피해자가 잠을 자고 있을 때 공격자가 복사한 유심을 휴대폰에 넣고 전원을 껐다가 켜면, 전산상으로 기기 변경이 이뤄진 것으로 판단하고 공격자의 휴대폰이 정상 동작하며, 피해자의 휴대폰은 ‘먹통’이 된다. 반대로 피해자가 먹통이 된 휴대폰이 이상해 유심을 뺐다가 다시 넣고 전원을 다시 켜면, 이번엔 공격자의 휴대폰이 먹통이 된다. 실제로 두 번째 피해자 B씨는 이러한 방법으로 새벽에 공격자와 몇 번 통신 주도권 싸움을 벌였던 것으로 드러났다.
전산상 해킹의 흔적이 없기 때문에 통신사인 KT는 이번 사건을 단순한 ‘기기 변경’으로 보고 피해자에게 별다른 대응을 하지 않았다. 이에 피해자들은 KT에게 기기 변경이 일어났을 때 기지국 위치를 알려달라고 요청했다. 복사된 유심으로 통신 주도권이 옮겨졌을 때, 피해자와 공격자의 기지국 위치 정보가 서로 다르다면 이는 심스와핑으로 볼 수 있기 때문이다. 예를 들면, 피해자 A씨가 사용할 때 ‘서울’에 있었는데, 공격자가 복제된 유심을 사용해 휴대폰을 켜서 기기 변경이 이뤄졌을 때의 위치가 ‘부산’이라면 유심이 2개인 것을 확인할 수 있기 때문이다. 이것이 바로 두번째 쟁점인 ‘기지국 정보’다.
문제는 KT가 피해자들이 요청한 이 기지국 정보를 타인의 개인정보가 포함됐다며 알려주지 않으면서 발생했다. 이에 피해금액이 큰 두 번째 피해자 B씨와 다섯 번째 피해자 E씨는 법무법인을 통해 ‘기지국 등 자료를 제공하라’며 소송을 제기했다.
또한, 최초의 피해자인 A씨는 개인정보보호위원회 산하 개인정보분쟁조정위원회(이하 위원회)를 통해 정보 제공을 요구했다. 최초 개인정보 분쟁조정에서는 KT에게 기지국 정보를 제공하라고 조정했지만, KT는 문자를 수신한 기지국 정보는 제3자의 기지국 정보이기 때문에 제공할 수 없다고 거부했다.
이에 A씨는 위원회에 다시 분쟁조정을 요청했고, 결정일(4월 28일)로부터 10일 이내 신청인(피해자 A씨) 휴대전화 기지국 접속 정보를 제공하라고 다시 조정했다. 조정안에 따르면 개인정보보호법에 따라 개인정보 처리자가 정보주체의 개인정보 열람 요구를 받았을 때는 정당한 사유가 없는 한 10일 이내에 정보주체가 해당 개인정보를 열람할 수 있도록 해야 한다며, 다시금 정보를 제공하라고 결론을 내렸다.
이와 관련 피해자 A씨는 “조정안이 법적 강제력이 없기 때문에 이번에도 KT는 별도로 답변을 하지 않을 것 같다”며, “다만 위원회에서 이러한 조정안을 권고한 만큼 현재 소송 중인 다른 피해자들에게 도움이 됐으면 좋겠다”고 말했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
