SIM 카드 스왑 공격(SIM Swap Attack)은 휴대폰 인증 보안을 전문적으로 겨냥하는 고급 공격 수단입니다. 공격자가 사회공학적 수단을 통해 통신사를 속여 사용자의 전화번호를 자신이 통제하는 SIM 카드로 이전하면, 해당 전화번호로 발송되는 모든 SMS 인증 코드를 수신할 수 있습니다. 이 공격은 전 세계적으로 이미 대량의 암호화 자산 도난 사례를 초래했습니다. 본 글에서는 이 공격의 원리를 상세히 분석하고, 완전한 방지 방안을 제공합니다.

SIM 카드 스왑 공격이란

공격 원리

SIM 카드 스왑 공격의 핵심은 통신사가 사용자의 전화번호를 원래 SIM 카드에서 공격자가 보유한 SIM 카드로 이전하게 만드는 것입니다. 이전에 성공하면:

  1. 사용자의 휴대폰이 신호를 잃게 됩니다 (번호가 더 이상 사용자의 SIM 카드에 없기 때문).
  2. 공격자의 휴대폰이 해당 번호로 발송되는 모든 SMS와 전화를 수신할 수 있습니다.
  3. 공격자는 수신한 SMS 인증 코드를 이용하여:
    • 바이낸스 비밀번호를 재설정
    • SMS 인증으로 계정에 로그인
    • 출금 작업을 승인
    • 계정 보안 설정을 변경할 수 있습니다

공격 프로세스

전형적인 SIM 카드 스왑 공격은 보통 다음 단계를 포함합니다:

정보 수집 단계: 공격자는 먼저 사용자의 개인 정보 -- 이름, 전화번호, 신분증 번호, 주소 등을 수집합니다. 이 정보의 출처:

  • 소셜 미디어의 공개 정보
  • 데이터 유출 사건의 개인 데이터
  • 사회공학 (고객 서비스를 사칭하여 정보 편취)
  • 다크웹에서 구매한 개인 정보

공격 실행 단계: 공격자는 수집한 개인 정보를 이용하여 다음 방법으로 통신사를 속입니다:

  • 본인을 사칭하여 영업점에서 재발급 처리 (원래 카드 분실 주장)
  • 본인을 사칭하여 통신사 고객 서비스에 전화하고, 보안 질문에 답하여 "신원" 확인
  • 일부 경우, 통신사 내부 직원을 매수하여 처리

활용 단계: SIM 카드 이전이 성공하면 공격자는 신속하게:

  • 사용자의 전화번호로 각종 플랫폼에 로그인
  • 비밀번호 재설정
  • SMS 인증 코드로 각종 작업 완료
  • 사용자가 발견하기 전에 암호화 자산 이전

실제 사례

전 세계적으로 SIM 카드 스왑 공격으로 인한 대액 암호화 자산 도난 사례가 다수 발생했습니다:

  • 미국의 한 투자자가 SIM Swap으로 2400만 달러 이상의 암호화 자산을 잃었습니다
  • 여러 암호화 업계 유명 인사의 소셜 미디어 계정이 SIM Swap을 통해 탈취되었습니다
  • 일부 피해자는 SMS 2FA를 활성화했음에도 SIM Swap으로 인해 보호가 무력화되었습니다

바이낸스 중문 사이트 전용 링크로 가입하고, 더 많은 보안 방호 지식을 배우세요.

대륙 사용자가 직면하는 SIM Swap 리스크

중국 통신사의 보안 조치

일부 국가와 비교하면, 중국의 통신사는 SIM 카드 관리 측면에서 일정한 보안 이점이 있습니다:

  1. 실명제 요구: 모든 전화번호에 실명 인증이 필요하며, SIM 카드 재발급 시 보통 본인이 신분증을 가지고 영업점에 방문해야 합니다.
  2. 안면 인식: 일부 통신사는 SIM 카드 재발급 시 안면 인식을 요구합니다.
  3. SMS 알림: SIM 카드 관련 작업 시 보통 SMS 알림이 있습니다.

하지만 리스크가 제로는 아닙니다

이러한 보호 조치가 있음에도 대륙 사용자는 여전히 SIM Swap 리스크에 직면합니다:

  1. 내부 직원 리스크: 통신사 직원이 매수되어 정상 절차를 우회할 수 있습니다.
  2. 위조 신분증: 위조된 신분증으로 재발급을 처리할 수 있습니다.
  3. 대리점 허점: 일부 소규모 대리점의 심사가 공식 영업점만큼 엄격하지 않을 수 있습니다.
  4. 온라인 서비스 허점: 통신사의 온라인 서비스 채널에 보안 허점이 존재할 수 있습니다.
  5. eSIM 기술: eSIM의 보급으로 원격 SIM 이전이 더 용이해져 공격 면이 증가합니다.

전면적인 SIM 카드 스왑 공격 방지

핵심 방지 전략

전략 1: SMS 인증을 주요 2FA로 의존하지 않기

이것은 가장 근본적인 방지 조치입니다. SIM 카드가 교환되더라도 바이낸스 계정이 주로 Google Authenticator 또는 하드웨어 보안 키로 2FA를 수행한다면, 공격자는 여전히 계정 방어를 돌파할 수 없습니다.

권장 인증 방식 우선순위:

  1. 하드웨어 보안 키 (YubiKey 등) -- 가장 안전
  2. Google Authenticator -- 추천
  3. Passkey -- 비교적 새롭지만 안전
  4. SMS 인증 -- 보조 수단으로만

전략 2: 개인 정보 보호

공격자가 개인 정보를 수집하는 경로를 줄입니다:

  • 소셜 미디어에 전화번호를 공개하지 않기
  • 소셜 미디어에 신분증 정보나 사진을 공개하지 않기
  • 개인 정보가 포함된 문서(택배 운송장 등)를 신중하게 처리
  • 신뢰할 수 없는 웹사이트에 전화번호를 입력하지 않기

전략 3: 통신사 계정 보안 강화

통신사에 연락하여 다음 조치를 취합니다:

  • SIM 카드 작업에 추가 인증 비밀번호 설정 (일부 통신사 지원)
  • 계정에 메모를 추가하여 모든 SIM 카드 작업은 본인이 지정된 영업점에서만 처리하도록 요청
  • 전화번호의 온라인 셀프서비스 기능 비활성화 (자주 사용하지 않는 경우)
  • 정기적으로 전화번호의 활성화된 서비스를 확인하고, 불필요한 부가 서비스 제거

기술적 방호 조치

바이낸스 측:

  1. Google Authenticator를 주요 2FA 방식으로 설정합니다.
  2. 사용 가능한 모든 보안 기능(출금 화이트리스트, 안티피싱 코드 등)을 활성화합니다.
  3. 보안 설정에서 인증 방식의 우선순위를 선택할 수 있다면, Google Authenticator를 최고 우선으로 설정합니다.

휴대폰 측:

  1. SIM 카드에 PIN 코드를 설정합니다. SIM 카드 PIN 코드는 휴대폰을 재시작하거나 SIM 카드를 다시 삽입할 때마다 입력해야 하므로, 공격자가 SIM 카드를 획득하더라도 PIN 코드를 모르면 사용할 수 없습니다.
  2. 휴대폰의 "SIM 카드 잠금" 기능을 활성화합니다.

SIM 카드 PIN 코드 설정 방법:

  • iOS: 설정 -> 셀룰러 -> SIM PIN -> 활성화 후 PIN 코드 설정
  • Android: 설정 -> 보안 -> 추가 보안 설정 -> SIM 카드 잠금 -> SIM 카드 잠금

기본 PIN 코드는 보통 1234 또는 0000이며, 처음 설정 시 기본 PIN 코드를 입력한 후 자신의 PIN 코드를 설정합니다. 주의: PIN 코드를 연속으로 3회 잘못 입력하면 SIM 카드가 잠기며, PUK 코드로 해제해야 합니다.

바이낸스 앱을 사용하여 더 안전한 인증 경험을 누리세요: 안드로이드 APK 다운로드

모니터링 및 경고

신호 손실 알림 설정: 휴대폰이 갑자기 신호를 잃으면 (보통 신호가 있는 곳에서), 이것은 SIM 카드가 교환된 신호일 수 있습니다. 단순히 네트워크 장애로 여기지 마시고, 즉시 확인하세요:

  1. 자신의 전화번호로 전화를 걸어 누가 받는지 확인
  2. WiFi를 연결하여 이메일과 바이낸스 계정 확인
  3. 통신사에 연락하여 SIM 카드 상태 확인

다중 채널 알림 설정: 바이낸스의 보안 알림이 여러 채널(이메일, 앱 푸시)을 통해 도달하도록 하며, SMS에만 의존하지 않습니다. 이렇게 하면 SIM 카드가 교환되더라도 다른 채널을 통해 보안 경고를 받을 수 있습니다.

SIM 카드가 교환된 후 긴급 처리

SIM 카드가 교환되었다고 확인하거나 강하게 의심되는 경우:

즉시 조치

  1. 통신사 연락: 즉시 통신사 고객 서비스에 전화합니다 (다른 사람의 휴대폰 사용), SIM 카드가 불법적으로 이전되었음을 보고하고, 즉시 번호 동결을 요청합니다.

    • 차이나 모바일: 10086
    • 차이나 유니콤: 10010
    • 차이나 텔레콤: 10000

  2. 바이낸스 계정 동결: 바이낸스 앱(WiFi 사용)이나 웹 버전으로 계정을 동결합니다. 앱에 로그인할 수 없다면 바이낸스 공식 고객 서비스 이메일로 메일을 보냅니다.

  3. 연관 이메일 비밀번호 변경: 바이낸스 가입에 사용한 이메일의 비밀번호를 즉시 변경합니다.

  4. 계정 상태 확인: 다른 기기와 방법(WiFi + 컴퓨터)으로 바이낸스 계정에 이상 조작이 있는지 확인합니다.

후속 처리

  1. 통신사 영업점에 방문하여 SIM 카드를 재발급받아 전화번호를 복구합니다.
  2. 전화번호 복구 후 모든 관련 계정의 보안 상태를 전면적으로 점검합니다.
  3. 해당 전화번호를 인증 방식으로 사용하는 모든 계정의 비밀번호를 변경합니다.
  4. 공안 기관에 신고합니다.
  5. 바이낸스에서 계정 안전을 확인한 후 동결 해제를 신청합니다.

SMS 인증을 대체하는 보안 방안

가상 통신사 번호

가상 통신사 번호(알리바바 소호, Google Voice 등)를 암호화 계정의 인증 번호로 사용하면, 가상 번호의 재발급 절차가 실물 SIM 카드와 다르므로 SIM Swap 리스크를 어느 정도 낮출 수 있습니다.

하지만 이 방법에도 한계가 있습니다:

  • 가상 번호의 계정 보안은 연동된 주 계정에 의존합니다
  • 일부 플랫폼은 가상 통신사 번호를 지원하지 않을 수 있습니다

전용 보안 휴대폰

암호화 관련 작업을 위한 전용 휴대폰을 준비합니다:

  • 해당 휴대폰은 암호화폐 관련 인증 작업에만 사용
  • 소셜 미디어와 기타 불필요한 앱을 설치하지 않기
  • 전화번호를 외부에 공개하지 않기
  • 평소에는 전원을 끄고 안전한 곳에 보관

자주 묻는 질문

Q1: 중국 대륙의 SIM Swap 리스크는 큰가요?

A: 미국 등 국가와 비교하면, 중국은 실명제와 안면 인식 요구 때문에 SIM Swap의 난이도가 더 높습니다. 하지만 리스크가 제로는 아니며, 특히 내부 직원 리스크와 위조 증명서 가능성을 고려해야 합니다. 대액 암호화 자산을 보유한 사용자는 여전히 진지하게 방지할 가치가 있습니다.

Q2: Google Authenticator를 활성화했는데, SIM Swap으로 계정이 뚫릴 수 있나요?

A: Google Authenticator가 정상적으로 작동하고 있다면, 순수한 SIM Swap만으로는 Google Authenticator의 보호를 돌파할 수 없습니다. 이것이 SMS가 아닌 Google Authenticator를 주요 2FA 방식으로 사용하라고 강력히 권장하는 이유입니다.

Q3: SIM 카드에 PIN 코드를 설정하면 어떤 리스크가 있나요?

A: 주요 리스크는 PIN 코드를 잊어버리는 것입니다. 연속으로 3회 잘못 입력하면 SIM 카드가 잠깁니다. 이때 PUK 코드로 해제해야 합니다. PUK 코드는 통신사에서 획득할 수 있지만, PUK 코드를 10회 잘못 입력하면 SIM 카드가 영구적으로 잠깁니다. PIN 코드와 PUK 코드를 안전한 곳에 기록해 두는 것을 권장합니다.

Q4: eSIM이 실물 SIM 카드보다 더 안전한가요?

A: eSIM은 일부 측면에서 더 안전합니다 (SIM 카드를 물리적으로 탈취할 수 없음). 하지만 다른 측면에서는 원격 공격에 더 취약할 수 있습니다 (공격자가 통신사 계정을 통해 eSIM 설정을 원격으로 이전할 수 있음). 전체적으로 양쪽 모두 장단점이 있으며, 가장 중요한 것은 SMS 인증에 완전히 의존하지 않는 것입니다.

요약

SIM 카드 스왑 공격은 표적이 명확하고 피해가 심각한 보안 위협입니다. 방지의 핵심 전략은 SMS 인증에 대한 의존을 낮추는 것입니다 -- Google Authenticator 또는 하드웨어 보안 키를 주요 이중 인증 방식으로 사용하세요. 동시에 개인 정보 보호 강화, SIM 카드 PIN 코드 설정, 통신사와의 소통을 통한 SIM 카드 관리 보안 강화가 리스크를 더욱 낮출 수 있습니다. 암호화 자산 보안 분야에서 모든 공격 방식에 대해 이해하고 방지하는 것이야말로 디지털 자산을 진정으로 지킬 수 있는 길입니다.

바이낸스 가입 | 바이낸스 앱 다운로드