테크플러스

팔로워가 420만명에 달하는 잭 도시 트위터 CEO 계정이 해킹 당했다. 지난해 암호화폐 사기 등 해킹 사건에서 등장한 '심 스와핑(SIM Swapping)' 공격에 노출된 것으로 추정된다. 심 스와핑으로 인한 정보 탈취 등 보안 우려가 다시 고개를 들었다.

잭 도시 CEO의 트위터 계정은 지난달 30일 해킹으로 인해 이상한 내용을 담은 트위터 메시지가 게재됐다. '히틀러는 죄가 없다' 등 나치를 옹호하거나 인종차별적 속어가 등장했다. 미국 IT 전문매체 더버지는 "잭 도시의 420만 트위터 팔로워들이 매우 놀라고 불쾌했을 것"이라고 전했다.

잭 도시 CEO 계정을 해킹한 집단은 '웃는 분대(Chuckling Squad)'로 추정된다. 이 이름을 자칭한 한 그룹은 게이머들이 자주 쓰는 채팅 앱 디스코드에서 잭 도시 계정 해킹이 자신의 소행이라고 주장했다. 이들은 최근 쉐인 도슨, 찰스 제임스, 아만다 서니 등 인터넷 인플루언서의 소셜네트워크서비스(SNS) 계정도 해킹한 것으로 알려졌다.

웃는 분대가 사용한 해킹 기법은 매우 단순하다. 심 스와프(SIM Swap) 공격이라고 부르는데, 스마트폰 가입자 식별 용도로 사용하는 SIM 카드를 활용한다. 우리나라에서는 유심(USIM)이라고 불리는 바로 그것이다.

해커는 자신의 SIM 카드를 교체하면서 특정인(해킹 피해자)의 휴대전화 번호를 포함한 주요 이동통신 서비스 정보를 해커 소유 SIM 카드에 넣는다. 온라인에서 수집한 특정인 개인 정보를 토대로 SIM 카드 본인 인증을 통과하는 방식이다. SIM 본인 확인 시 대면 인증이 필요할 경우 신분증을 위조하기도 한다.

이같은 수법은 지난해 암호화폐 사기 사건에도 쓰였다. 지난해 8월 암호화폐 시장에 심 스와핑 주의보가 떨어졌다. 미국에서 10대 해커가 심 스와핑 방법을 이용해 100만달러 비트코인을 탈취했기 때문이다. 이 해커는 훔친 비트코인으로 스포츠카를 구매한 것으로 알려졌다.

10대 해킹 사건 한달 전에는 20대 해커가 40명의 암호화폐 지갑에서 500만달러 이상의 암호화폐를 탈취한 적이 있다. 이 해커도 심 스와핑 수법을 이용했다. 두 해커는 모두 경찰에 체포됐다.

더버지 등 외신은 심 스와핑 수법이 매우 간단하지만, 트위터 등 주요 SNS은 보안 대책을 세워놓지 않았다고 지적했다.

테크플러스 에디터 권동준

tech-plus@naver.com