SK텔레콤이 해킹에 의한 악성코드 공격으로 가입자 고유식별번호 등 유심(USIM) 관련 정보가 유출된 가운데 금융피해 발생 우려가 커지고 있다. 모바일 금융서비스가 크게 확대되면서 유출된 유심 정보로 복제폰을 만들 경우 금융 계좌 등이 탈취당할 수 있기 때문이다.

28일 금융권과 금융당국에 따르면 금융보안원(금보원)은 최근 SKT 유심정보 해킹 관련 금융권 영향 검토를 통해 대응방안을 회원 금융사(은행 보험 증권 카드사 등) 230곳에 전파했다.

금보원은 “유출된 유심 정보를 이용해 유심을 복제해 공격하는 심 스와핑 공격 발생 가능성이 존재하며, 심 스와핑 공격으로 SMS 휴대폰 본인 인증이 무력화될 수 있어 모니터링 강화, 추가 인증 등을 고려할 필요가 있다”고 밝혔다.

심 스와핑 공격은 타인의 휴대전화 번호를 본인의 유심카드로 탈취해 통신사 인증을 가로채는 수법을 말한다. 입수한 개인정보(이름, 생년월일, 전화번호, 주민등록번호 등)를 이용해 ‘휴대폰 분실’ 또는 ‘기기 변경’을 이유로 기존 유심카드 대신 새 유심카드를 발급받아 번호를 탈취한다. 이후 피해자의 전화번호로 오는 인증번호(SMS 인증)를 자기 유심카드로 받게 되고, 이를 이용해 피해자의 금융계좌 로그인, 가상자산 거래소 접속, SNS 계정 탈취 등을 시도하게 된다.

금보원은 크게 3가지 대응방안을 제시했다. 모바일 금융서비스 중 휴대폰 본인 인증 만으로 인증이 완료되는 경우에는 앱 인증 등 추가 인증수단 적용을 고려하고 모니터링을 강화할 필요가 있다고 밝혔다. 또 모바일 금융 앱의 경우 기기정보를 수집하고 있다면 심 스와핑 공격이 일어날 경우 기기변경으로 인한 기기정보(단말기 고유 식별번호, IMEI 등) 변경이 발생하기 때문에 기기정보 변경 고객에 대한 추가 인증이 필요하다는 것이다.

사용하는 휴대폰이 갑자기 동작하지 않을 경우에는 신속하게 통신사, 금융회사 등에 연락하도록 고객에게 안내하는 방안 등도 제안했다.

금보원 관계자는 “​고객의 휴대폰 기기변경 등이 일어날 경우 금융회사들이 이를 감지할 수 있는 FDS(이상거래탐지시스템)를 가동하도록 했으며 2가지 이상 인증을 실시하도록 했다”고 말했다.

대형 금융회사들은 대부분 2가지 이상 인증을 실시하고 있지만 규모가 작은 금융회사들은 휴대폰 인증만 하는 경우들이 있다.

최근 미국에서도 2가지 이상 인증을 실시하지 않아 미국 통화금융청(OCC)이 해킹에 뚫리는 사고가 발생했다. OCC 관리자 계정에 다중요소인증(MFA) 시스템이 작동하지 않아 해커들이 접근했으며 1년 이상 이메일 시스템 해킹됐고 100개 이상의 이메일 계정 정보가 유출된 것으로 알려졌다.

MFA는 사용자 계정 접근을 위해 2개 이상의 방법으로 사용자 신원을 확인하는 방법으로 기본적인 사이버보안 툴 중 하나다.

이경기 기자 cellin@naeil.com