회사 CEO나 경영진 노리고 심 스와핑...통신사 직원 속여 심에 번호 옮겨
세 번의 공격 성공했으나 금전적 이득 얻지 못해...네 번째에 성공

[보안뉴스 문가용 기자] 맨해튼에 거주하는 한 남성이 실리콘밸리 출신 기업가로부터 1백만 달러어치의 암호화폐를 훔쳐냈다고 한다. 이 사람은 심 스와핑(SIM Swapping)이라는 공격 방법을 사용했다.


범인은 니콜라스 트루글리아(Nicholas Truglia)라는 21세 청년으로, 블록체인 서비스 업체인 제로체인(0Chain)의 CEO 사스와타 바수(Saswata Basu), 홀 캐피털 파트너즈(Hall Capital Partners)의 부회장인 마일즈 다니엘슨(Myles Danielsen), SMBX의 공동 창립자인 가브리엘 카츠넬슨(Gabrielle Katsnelson)과 같은 인물들을 겨냥해 표적 공격을 여러 차례 시도했다.

트루글리아는 자신이 표적으로 삼은 모든 사람들의 모바일 전화기 계정을 하이재킹 하는 데 성공했다고 한다. 보다 정확히 말하면 피해자들이 이용하는 통신사 직원(혹은 상담원)을 속여 새로운 심카드로 전화번호를 옮기도록 하는 데 성공한 것인데(즉, 심 스와핑) 이 모든 노력에도 불구하고 금전적인 이득으로 잇지는 못했다.

그러나 트루글리아는 멈추지 않았다. 네 번째 피해자를 찾아 나섰다. 그리고 샌프란시스코에 거주하고 있는 로버트 로스(Robert Ross)라는 인물을 포착했다. 심 스와핑 공격을 통해 통신사 계정을 훔쳐내는 데 성공했고, 이를 통해 코인베이스(Coinbase)라는 암호화폐 거래소에 있던 구좌로부터 50만 달러를, 제미니(Gemini) 거래소 구좌로부터 50만 달러를 빼앗아 오는 데 성공했다.

심 스와핑이 강력한 공격인 건, 공격자들이 문자를 기반으로 한 2중 인증 장치를 뚫어낼 수 있게 되기 때문이다. 사용자가 지정한 비밀번호 외에 서비스 업체에서 사용자 전화기로 보내주는 문자 내 정보를 한 번 더 입력하는 것을 문자 기반 2중 인증이라고 하는데, 심카드가 범인의 손에 있게 되면 이 방어 장치는 유효하지 않게 된다.

트루글리아는 고층 빌딩에 거주하고 있다가 경찰에 붙잡혔고, 경찰은 현장에서 30만 달러를 회수하는 데 성공했다. 현재 트루글리아는 6명의 피해자로부터 고소를 당한 상태로, 총 21개의 혐의를 받고 있다.

이 사건으로 심 스와핑 공격의 무서움이 다시 한 번 드러났고, 통신사가 새로운 심카드를 활성화시키는 서비스를 제공할 때 인증을 강화할 필요가 있음이 증명됐다. 실제로 심 스와핑 공격은 요 근래 꽤나 자주 시도되는 공격으로, 문자를 기반으로 한 2중 인증 시스템은 취약하다는 주장까지 나오고 있다.

지난 8월에도 미국의 사업가이자 암호화폐 투자자인 마이클 터핀(Michael Terpin)이 AT&T 통신사에 2억 2천 3백만 달러의 손해배상을 청구하기도 했다. AT&T 대리점 직원이 SIM 스와핑 공격자를 도와 2천 4백만 달러를 훔쳐갔다는 것이 그가 주장하는 이유였다.

터핀은 1) 사기, 2) 중과실, 3) 사생활 침해, 4) 고객의 비밀에 대한 비승인 공개, 5) 동의 협약 침해, 6) 직원 관리 실패, 7) 범죄 기록 확인 실패 등을 주장하며 AT&T에 대한 고소장을 LA 지방법원에 제출했다.

3줄 요약
1. 심 스와핑 공격한 20대 청년, 1백만 달러 암호화폐 훔치는 데 성공.
2. 세 번의 실패 이후 네 번째 시도에서 성공. 심 스와핑 자체는 모두 성공.
3. 통신사의 사용자 인증 강화와 문자 기반 2중 인증 대체할 시스템 필요.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>