SIM 스와핑

SIM 스와핑은 이동전화 이용자의 SIM 카드(Subscriber Identity Module)를 불법적으로 교체하거나 전환함으로써 해당 이용자의 전화번호와 연동된 서비스에 무단 접근하는 신원 도용 및 사기 행위이다. 주로 공격자는 피해자의 개인 정보를 수집한 뒤, 이동통신사의 고객지원 부서에 전화를 걸어 신분을 위조하고 기존 SIM을 새로운 SIM으로 교체하도록 요청한다. 이 과정에서 전화번호가 새로운 SIM에 할당되면, 공격자는 해당 번호를 통해 일회용 비밀번호(OTP)·SMS 인증·계정 복구 절차 등을 우회하여 온라인 계정에 접근하거나 금전적 이득을 취한다.

어원 및 용어 정의

• SIM: Subscriber Identity Module의 약자로, 이동통신 서비스에 가입된 이용자를 식별하기 위한 작은 칩 형태의 저장 매체이다.
• Swapping: 영어 동사 swap의 현재분사 형태로, “교환하다, 바꾸다”의 의미를 가진다. 따라서 SIM 스와핑은 “SIM을 교환(전환)한다”는 직역적 의미에서 유래한다.

주요 절차

1. 정보 수집: 공격자는 피싱, 소셜 엔지니어링, 데이터 유출 등 다양한 방법을 이용해 대상의 이름, 생년월일, 주소, 계정 비밀번호, 전화번호 등 개인 정보를 확보한다.
2. 통신사 사칭: 수집된 정보를 바탕으로 이동통신사의 고객센터를 사칭하거나 직접 연락하여, “새 SIM 카드가 필요하다”, “기기 분실·파손” 등의 사유를 제시한다.
3. 신분 확인 회피: 보안 질문에 답하거나, 사전에 확보한 인증 코드를 제공함으로써 통신사의 신분 확인 절차를 회피한다.
4. SIM 교체: 통신사는 기존 번호를 새로운 SIM 카드에 할당하고, 기존 SIM은 비활성화한다. 이때 공격자는 새 SIM을 손에 넣어 번호를 장악한다.
5. 악용: 장악한 번호를 이용해 은행·결제 서비스·소셜 미디어·메일 등 다양한 온라인 서비스에 2단계 인증(2FA) 코드를 받으며, 계정 탈취·자금 이체·개인 정보 유출 등의 악의를 수행한다.

피해 사례 및 영향

• 2020년~2021년 사이에 미국 연방수사국(FBI)과 사이버 보안 업체들은 연간 수백 건 이상의 SIM 스와핑 사건을 보고했으며, 평균 피해 금액은 수천 달러에 달한다.
• 금융기관·암호화폐 거래소·소셜 네트워크 서비스 등 2FA에 SMS 기반 인증을 채택한 서비스는 특히 높은 위험에 노출된다.
• 피해자는 전화통신 서비스 중단, 계정 복구 지연, 신용도 하락 등의 부가적 손해를 입을 수 있다.

대응 및 예방책

국제적인 인식

• 미국 연방수사국(FBI)·영국 국가보안청(GCHQ)·호주 사이버 보안 센터(ACSC) 등 주요 사이버 보안 기관은 SIM 스와핑을 고위험 사기 유형으로 분류하고 있다.
• 2022년 국제 표준화 기구(ISO)에서는 모바일 인증 보안 가이드라인(ISO/IEC 24760-2)에서 SMS 기반 인증의 한계와 대체 방안을 제시하였다.

참고 문헌

1. Federal Bureau of Investigation, “Internet Crime Report 2021”.
2. European Union Agency for Cybersecurity (ENISA), Threat Landscape 2022 – Mobile Threats.
3. Kaspersky Lab, “SIM Swapping: How Attackers Hijack Your Phone Number”. 2023.
4. 한국인터넷진흥원(KISA), 모바일 보안 현황 보고서 2022.

(본 문서는 2026년 5월 현재 확인된 공개 자료를 기반으로 작성되었으며, 최신 상황에 따라 내용이 변동될 수 있다.)