심스와핑 코인 탈취..거래소 vs 통신사 누구의 잘못?
거래소 앱 접근이 더 쉬워 벌어진다는 분석 존재
책임 소재 따지기 어렵다는 의견도
이 기사를 공유합니다
박범수
박범수 2022년 2월19일 10:00
출처=Brett Jordan/Unsplash
출처=Brett Jordan/Unsplash

지난해 말부터 성행하고 있는 '심스와핑' 범죄. 심스와핑이란 범용 가입자 식별 모듈 칩(유심칩)을 복사해 휴대폰 명의를 도용하는 범죄를 일컫는다.

지금까지 공개된 심스와핑 범죄는 주로 가상자산(코인) 거래소 앱을 타깃으로 삼았다. 통상 은행 앱은 OTP나 공동인증서로 이중, 삼중으로 보안 장치가 돼 있지만 거래소는 카카오톡 인증이나 문자 확인만으로도 로그인이 가능하기 때문.

한 보안 업계 관계자는 "가상자산의 경우 자금 추적이 비교적 어렵다는 점과 일반 금융 서비스보다 거래 과정이 단순하다는 점을 공격자가 노린 것으로 추정된다"며 심스와핑 사례에서 코인 탈취가 주로 발생하는 이유를 설명했다.

언론에 공개된 사례 이외에도 코인 탈취를 노린 심스와핑 공격은 더 많이 있었다.

19일 코인데스크 취재를 종합하면, 가상자산 거래소에서 심스와핑으로 의심되는 거래는 지금까지 총 21건으로 두 개 거래소에서 발생했다. 21건 중 5건은 범죄로 이어졌지만, 16건은 거래소 차원에서 막혔다.

한 거래소 관계자는 “딥러닝 기반 인공지능(AI)을 활용해 지금까지 심스와핑으로 판명된 거래 11건을 모두 막을 수 있었다”고 말했다.

트래블룰에 대비해 올초 시행된 화이트리스트도 심스와핑 예방에 한몫했다.

화이트리스트란 오늘 3월 시행될 트래블룰에 대비한 수단으로 화이트리스트 대상인 거래소에서 개인 지갑으로의 전송은 금지됐다. 심스와핑으로 거래소 앱에 접근해도 개인 지갑으로 전송이 불가능하기 때문에 가상자산을 탈취할 수 없다는 의미다.

다른 거래소 관계자는 “(화이트리스트) 이전에는 해외 로그인 시도 등 이상 거래를 자체적으로 탐지해 막았다. 화이트리스트 이후로는 가상자산 출금은 본인 명의의 지갑으로만 가능하기 때문에 심 스와핑이 힘든 구조가 됐다”고 설명했다.

당국 규제에 따른 강제적 조치였지만 화이트리스트가 심 스와핑을 막는데는 도움이 된 셈이다.

주로 코인 탈취로 이어진 심스와핑 범죄. 출처=Bermix Studio/ Unsplash
주로 코인 탈취로 이어진 심스와핑 범죄. 출처=Bermix Studio/ Unsplash

그렇다면 심스와핑 범죄의 보안 책임은 누구에게 있을까? 거래소일까? 통신사일까?

거래소가 도의적으로 책임이 있고, 통신사는 사후적인 책임이 있다는 의견이 나온다. 

익명의 보안 업계 관계자는 "(화이트리스트) 이전에 코인 이체가 허용됐기 때문에 도의적인 책임은 거래소에 있다고 본다"며 규제가 없을 때 범죄가 발생했던 당시 거래소 보안 구조에 대한 책임을 언급했다.

관계자는 또 "유심 정보가 어디있을지 생각해보면 당연히 대리점이나 통신사일 것이다. 통신사에 (유심 정보가) 있는 게 맞다면 통신사는 피해자나 수사 당국에 관련 기록을 제공해야 한다"며 통신사의 사후적 책임을 강조했다.

하지만 통신사와 가상자산 거래소는 서비스 제공사일 뿐이기 때문에 책임 소재를 따지기 애매하다는 분석도 있다.

김형중 고려대 정보보호대학원 교수는 "가상자산 거래소와 통신사 중 누가 더 책임이 있느냐 판단하기에는 애매하다. 통신사와 가상자산 거래소 모두 서비스 제공사이고 개인 정보를 탈취해 로그인하는 경우를 막는 것은 사실상 어렵다"고 설명했다. 또 "만일 이런 심 스와핑 범죄가 더 많아진다면 기술적으로 보완할 일이지 책임을 물을 문제는 아니"라고 덧붙였다.

현재 심스와핑 수사 진행 상황이나 구체적인 범죄 방식에 대해서는 알려진 것이 별로 없다. 주변 지인이 유심칩을 물리적으로 탈취해 복사한 것인지, 통신사나 대리점에서 특정 범죄자가 개인 정보를 빼돌려 새로운 유심칩을 만든 것인지는 알 수 없다.

심스와핑 수사를 전담하고 있는 서울경찰청 측은 “수사를 진행하고 있고 자세한 사항은 공개할 수 없다”고 밝혔다. 심스와핑 범죄가 발생했던 KT 측 역시 “경찰 수사에 협조하고 있다”고 설명할 뿐이었다.

자세한 방식을 밝히지 않는 이유로는 범죄 악용 가능성이 거론된다.

거래소 관계자는 “상세한 범죄 방식이나 거래소의 보안 방법이 알려지면 범죄자가 그 방법을 피해 범죄를 저지를 가능성이 있기 때문에 공개하고 있지 않다”고 설명했다.

제보, 보도자료는 contact@coindeskkorea.com



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.