SIM스왑 사기, 모잠비크의 피해 '제로'를 달성하게 한 대책

아프리카의 많은 국가에서는 은행 점포나 ATM가 여전히 ​​도시에 집중되어 있으며, 교외에 사는 상대적으로 가난한 농민 등은 출금을 위해 몇십 킬로를 걸어 은행에 방문하는 경우는 드물지 않다. 이러한 불편함을 해소해주는 것이, 휴대전화 나 스마트폰을 사용하여 송금하는 '모바일결제' 시스템이다. 현재 아프리카는 아시아 다음으로 모바일결제 거래액이 많은 지역이라고 한다.

"내가 사는 모잠비크에서는 GDP의 약 40%에 해당하는 연간 약 50억 달러가 모바일결제를 통해 거래되고 있습니다. 평소의 쇼핑은 물론 직원에 대한 급여와 벌금의 지불도 모바일로 결제합니다. 아프리카 전역의 모바일 단말기 소지 비율은 약 50%라고 하지만, 앞으로 소지율이 늘어나면, 아프리카는 더 거대한 모바일결제 시장으로 발전해 나가는 것은 틀림없습니다"

2019년 4월 싱가포르에서 개최된 Kaspersky Labs 주최의 보안 이벤트 'Security Analyst Summit 2019'에서 CERT Mozambique(모잠비크 CERT)의 앙드레 텐레이로 씨는 아프리카의 모바일결제 상황을 이렇게 설명했다.

휴대전화 번호를 탈취하여 금전을 도둑질하는 'SIM스왑 사기'의 수법이란?

하지만 이러한 모바일결제의 대중화와 동시에 증가하고 있는 것이, 거래되는 금전을 노린 범죄이다. 특히 최근에는 'SIM스왑 사기'라는 공격방법이 큰 사회문제로까지 발전하고 있다고 한다. SIM스왑 사기는 휴대전화의 SIM 카드를 전환(swap)한다는 의미로 전화번호와 연계된 SIM(ID)를 강제로 전환하여 그 전화번호를 낚아채는 공격이다.

이 수법은 매우 간단하다. 우선 범인은 새로운 SIM카드를 준비하고, 이동통신 사업자에게 "전화기를 분실했기 때문에 현재의 전화번호 그대로 새로운 SIM으로 전환 싶다" 등의 거짓 연락을 한다. 사업자가 그 설명을 믿고 타겟의 전화번호를 범인의 SIM으로 지정되면 완료된다. 범인은 타켓의 전화번호를 탈취한 것이다.

다음으로 범인은 그 전화번호에 등록된 온라인 서비스를 확인한다. 온라인뱅킹 등의 돈이 될만한 서비스가 발견되면 '비밀번호 변경' 기능을 이용하여 인증을 돌파한다. 이러한 서비스 대부분은 SMS를 통해 일회용 암호를 전송하고 그것을 입력시킴으로써 본인확인(인증)을 하는 구조를 채용하고 있다. 그러나 전화번호는 이미 범인의 손에 넘어가 있어 범인은 일회용 암호를 SMS로 받을 수 있다. 다음은 암호를 변경하고 로그인하여 피해자의 은행계좌에서 범인 자신의 계좌에 송금하면 공격은 완료된다.

소셜 엔지니어링, 뇌물, 내부자 범행, 피싱 등 범죄자들은 ​​다양한 수법으로 SIM스왑을 시도한다

물론, 이동통신 사업자도 그렇게 쉽게 속지 않는다. 일반적으로 SIM 전환을 요청하면 본인확인을 위한 질문을 받게 된다. 그러나 과거의 정보유출 사고로 유출된 개인정보, SNS 게시물에서 얻은 정보, TrueCaller 서비스(전화번호에서 소유자의 이름을 특정하는 서비스) 등을 잘 이용하면 이러한 질문을 쉽게 돌파할 수 있다고 한다. "마지막으로 통화한 연락처 5개'를 묻는 사업자도 있지만, 사전에 타겟의 전화번호로 착신을 남겨 콜백을 유도하는 방법으로 억지로 그것을 돌파하는 공격자도 있다. 그런 작업이 귀찮다고 생각한다면, 1건당 10~40달러 정도로 작업을 대행해주는 'SIM Swap as a Service'도 준비되어 있다.

게다가 '뿌리 깊은 문제'도 있다고 텐레이로 씨는 지적한다. 많은 경우 이동통신 사업자와 온라인뱅킹(은행)의 내부자가 범죄자에게 뇌물로 회유되어 있을 것이라고 한다. 만일 휴대전화 숍에서 SIM 재발급 절차가 필요하다고 해도, 이동통신 사업자에 있는 공범이 합법적인 서류를 발급해 주면, 상점 점원은 의심 없이 받아들일 것이다.

SNS 계정을 탈취! 가짜 메시지를 뿌린다

Kaspersky Labs의 파비오 앗소리니 씨도 "내가 사는 브라질에서도 마찬가지로 SIM스왑 사기가 심각한 문제가 되고 있다"고 말했다.

브라질에서 5,000명의 피해자를 낸 어떤 사건에서는 SIM스왑 사기를 통해 전화번호를 빼앗은 범인이 메신저 앱 'WhatsApp'의 피해자의 계정을 이용하여 연락처에 등록된 친구들에게 "비상사태가 발생했다! 빨리 돈이 필요하다"는 메시지를 뿌렸다. 당황해서 3,000달러 이상을 이체한 친구도 있었다고 한다. 그리고 이 사건에서도 이동통신 사업자의 내부에 SIM스왑을 지원한 공범이 있었다.

FinTech 붐을 타고 브라질에서는 신용카드 발급이나 은행계좌의 개설수수료 없이 이용할 수 있는 모바일 서비스도 등장하고 있는데, 이러한 서비스도 표적이 되고 있다고 앗소리니 씨는 말한다. 예를 들어 'Pag!'라는 온라인 결제 앱에서 일어난 사건은 SIM스왑을 실행한 범인이 암호를 다시 설정하고 탈취 피해자 명의로 발행한 신용카드로 약 3,300달러를 썼다고 한다.

"온라인뱅킹에는 암호를 다시 설정하려면 콜센터에 문의하지 않으면 할 수 없는 구조로 채용하는 서비스도 있다. 그러나 본인확인을 위한 질문으로 잔액 및 마지막 거래내용을 물어도 은행 내부에 공범이 있을 경우 미리 그 정보를 알게 되면 어떤 방지책도 소용없다" (앗소리니 씨)

그렇게 말하는 앗소리니 씨 자신도 실은 SIM스왑 사기를 당한 적이 있다. 지난해 9월 모스크바에 출장을 갔을 때의 일이다. 평소 사용하는 스마트폰으로 현지 통신사에 로밍 연결한 첫날은 문제없이 사용했지만, 다음날 아침에 갑자기 연결할 수 없게 되었다. 계약하고 있는 브라질 이동통신 사업자에게 문의한 결과 "휴대폰을 도난당했기 때문에 다른 SIM으로 전환해 달라"는 연락이 있었다고 한다. 전형적인 SIM스왑 사기다.

앗소리니 씨는 사정을 이야기하고 즉시 원래의 SIM으로 되돌려달라고 요구했다. 만약을 위해 사용하는 온라인 서비스에 피해가 없는지를 확인한 결과, 다행히 아무 피해도 없어 안도했었다고 말한다. 덧붙여서, SNS 등을 통해 해외출장 예정이 있는 인물을 노리는 사기도 일부 관측되고 있다고 한다.

"보안 애널리스트도 이 범죄에 무력하다고 통감했다"고 말했다고 전하는 Kaspersky Labs의 파비오 앗소리니 씨

SIM스왑 사기의 피해를 거의 '제로'로 만든 모잠비크 대책이란

최선의 대책은 온라인뱅킹 및 온라인 서비스에서 본인확인을 위해 SMS를 통해 일회용 암호를 전송하는 인증방법을 종료하는 것이다. 그러나, 모잠비크에서는 생체인증과 암호생성기(Google Authenticator 등)을 사용할 수 있는 스마트폰이 아닌 구형 휴대전화(피처폰)가 아직도 주류이며, 즉시 SMS인증의 사용을 그만둘 수 는 없다.

이 어려운 과제를 놓고, 모잠비크에서는 이동통신 사업자와 주요 은행을 포함 라운드 테이블을 개최하여 논의하였다.

온라인뱅킹과 모바일 통신사업자의 시스템을 API연계하여 납치가 의심되는 전화번호를 확인하는 구조

우선 은행은 온라인뱅킹에서 송금 등의 거래가 발생했을 때, VPN 회선과 REST API를 통해 이동통신 사업자에 전화번호(MSISDN)와 일정 시간(24~72시간)을 지정하여 쿼리를 건다. 이것은 지정된 시간에 그 전화번호로 SIM의 전환이 행해졌는지 여부를 확인하는 요구에, 이동통신 사업자는 True / False로 응답한다.

만약 True(지정 시간 내에 SIM스왑이 이루어졌다)라면, 온라인뱅킹은 거래를 중단하고 추가 본인확인 절차를 실시한다. 물론 SMS을 통한 원타임 패스워드는 의미가 없으므로, "은행에서 직접 창구에 오도록 지시할 수도 있다"고 텐레이로 씨는 설명한다. 또한 쿼리의 상호작용은 자동화되어있기 때문에, 통신 사업자와 은행의 내부에 공범이 있어도 거기에 개입할 틈은 없다.

모잠비크는 이 플랫폼을 구축한 결과 "SIM스왑 사기는 거의 제로가 됐다"고 텐레이로 씨는 말한다.

"현재 지원하는 곳은 댸형 모바일 통신 사업자와 주요 은행뿐이지만, 이번. 성공을 받아 다른 사업자도 관심을 보이고 있다. 모잠비크 정부도 효과를 높이 평가하여 모든 사업자나 은행이 플랫폼에 참여하도록 의무화하는 방향으로 이동하기 시작하고 있다" (텐레이로 씨)


SIM스왑 사기에 대한 대책으로 이동통신 사업자와 사용자가 해야 할 일

SIM스왑 사기를 방지하기 위해 두 사람은 각각의 입장에서 다음과 같은 조치를 취할 것을 제안하고 있다.

이동통신 사업자 : 거래시 본인확인 절차를 강화한다
온라인 서비스 : SMS 인증을 즉시 폐지하고, 음성인증 등 다른 인증방법을 도입한다
사용자 : 2단계인증의 수단으로 암호생성기 등 SMS인증 이외의 방법을 이용한다


두 사람이 입을 모아 호소한 것은 "어쨌든 SMS인증 진심으로 폐지하고 싶다"라는 것이다. SIM스왑이 성공해 버리면 아무 의미도 없을 뿐만 아니라, 심지어 공중전화 교환망에서 이용되는 신호 방식의 하나인 'SS7'는 도청할 수 있는 취약점이 있는 것도 알려져 있다 . 즉 SIM스왑을 사용하지 않아도, SMS를 통해 전송되는 일회용 암호는 도둑맞을 가능성이 있는 것이다.

"SIM 전환의 실행 전에 '이용자의 전화번호는 이 SIM카드에서 사용할 수 없게 됩니다"라는 SMS 알림을 보내 미리 등록한 자신의 목소리로 음성인증을 채용하는 등 별도 대책을 추가하고 강화해 달라"고 두 사람은 호소한다.

그러나 음성인증은 대책의 효과는 높지만 시스템 도입 비용도 높다. FinTech 벤처 등에게는 지출이 많고, 도입의 장벽은 높을지도 모른다. 그런 점에서 API를 통해 쿼리를 교환하는 모잠비크 사례는 벤처 비즈니스 활동을 저해하지 않고, 경제 활성화를 뒷받침하는 것이다. 텐레이로 씨는 "힘든 것은 관계자 모두를 라운드 테이블에 모이게 하는 것"이라고 웃음을 지으며, 이 플랫폼의 유효성에 자신감을 보였다.

한국에서는 아직 SIM스왑 사기로 인한 피해는 보고되고 있지 않지만, 저렴한 SIM의 MNP 전환 절차를 악용하거나 해외출장을 가는 사람을 대상으로 하는 등 공격방법은 얼마든지 생각된다. 실행될 가능성이 제로라고 단언할 수 없다. 모잠비크의 성공사례는 유용한 참고가 될 것이다.

출처 번역
SIMスワップ詐欺、モザンビークで被害ゼロに追い込んだ対策
https://ascii.jp/elem/000/001/850/1850476/amp/

SIMスワップ詐欺、モザンビークで被害ゼロに追い込んだ対策 - ASCII.jp