SIM 스와핑 사기: 휴대폰 번호를 탈취해 은행 계좌를 털어가는 수법
SIM 스와핑 공격의 작동 원리, SKT·KT·LG U+에서 발생하는 사례, OTP가 왜 위험한지, 그리고 효과적인 예방법을 알아봅니다.
SIM 스와핑 사기: 휴대폰 번호를 탈취해 은행 계좌를 털어가는 수법
평소처럼 스마트폰을 쓰고 있는데 갑자기 통화도, 문자도, 데이터도 안 됩니다. "일시적인 장애겠지" 하는 사이, 은행 계좌에서 수백만 원이 빠져나갑니다. 이것이 바로 SIM 스와핑(유심 탈취) 공격입니다.
SIM 스와핑은 어떻게 이루어지나?
SIM 스와핑은 범죄자가 통신사를 속여 피해자의 전화번호를 자신이 가진 새 유심(SIM)으로 옮기는 공격입니다.
전형적인 공격 과정:
- 개인정보 수집 — 이름, 생년월일, 주민등록번호 뒷자리 등을 데이터 유출, SNS, 피싱으로 확보
- 위조 서류 준비 — 주민등록증 위조 또는 위임장 조작
- 통신사 방문 — SKT, KT, LG U+ 대리점에 위조 서류를 들고 가서 "유심 분실" 신고
- 새 유심 개통 — 피해자의 유심은 정지되고, 범죄자의 유심이 모든 전화와 문자를 수신
- 계좌 탈취 — 은행 OTP 가로채기, 비밀번호 변경, 계좌이체 실행
| 단계 | 소요 시간 | 피해자 인지 |
|---|---|---|
| 정보 수집 | 수일~수주 | 불가능 |
| 대리점에서 유심 교체 | 15~30분 | 갑작스러운 통신 두절 |
| 계좌 인출 | 5~10분 | 은행 알림 (수신 가능한 경우) |
SIM 스와핑이 치명적인 이유
SMS OTP — 가장 취약한 인증 수단
국내 대부분의 은행과 금융 앱(카카오뱅크, 토스, 국민은행, 신한은행 등)은 여전히 SMS OTP를 사용합니다. 범죄자가 내 번호를 가져가면:
- 모든 은행 OTP 문자를 가로챔
- 카카오톡, 네이버 등 주요 서비스 비밀번호를 재설정
- 간편결제(카카오페이, 네이버페이, 토스) 접근 가능
- 본인인증이 필요한 모든 서비스 장악
금전 피해를 넘어선 위험
- 피해자 명의로 대출 실행
- SNS 계정 탈취 후 지인 대상 사기
- 개인정보 유출 및 2차 피해
유심이 탈취됐다는 징후
조기 발견이 피해를 줄입니다:
- 갑작스러운 통신 두절 — 전파가 잘 잡히는 곳에서 "서비스 없음" 표시
- 전화·문자가 안 옴 — 상대방은 전화했다는데 내 폰에는 기록 없음
- 유심 변경 알림 — 통신사에서 유심 교체 안내 문자가 옴 (다른 기기에서)
- 앱 로그인 불가 — 은행 앱, 이메일에 갑자기 접속 안 됨
- 비밀번호 변경 알림 — 본인이 요청하지 않은 비밀번호 변경 메일 수신
위 징후가 하나라도 보이면 즉시 대응하세요.
SIM 스와핑 예방법
1. 통신사에 유심 잠금(PIN) 설정
모든 유심 변경 시 추가 인증을 요구하도록 설정합니다:
- SKT: T월드 앱 또는 114 전화
- KT: 올레 고객센터 앱 또는 114 전화
- LG U+: U+ 고객센터 앱 또는 114 전화
2. SMS OTP 대신 앱 인증으로 전환
| 인증 방식 | 보안 수준 | 예시 |
|---|---|---|
| SMS OTP | 낮음 | 문자 인증번호 |
| 앱 인증 | 높음 | Google Authenticator, 카카오 인증 |
| 생체 인증 | 높음 | 지문, 얼굴 인식 |
| 보안 키 | 매우 높음 | YubiKey |
3. 개인정보 노출 최소화
- 주민등록번호, 생년월일을 SNS에 공개하지 않기
- 출처 불명의 링크나 본인확인 요청에 응하지 않기
- 금융 서비스용 이메일은 별도로 사용
4. 은행 앱 푸시 알림 활성화
SMS 알림만으로는 유심 탈취 시 받지 못합니다. 앱 푸시 알림을 반드시 켜두세요 — 유심이 바뀌어도 Wi-Fi를 통해 알림을 받을 수 있습니다.
유심 탈취가 의심될 때 대응법
시간이 생명입니다. 순서대로 실행하세요:
- 통신사에 즉시 전화 (다른 전화 이용) — 유심 정지 및 원래 번호 복구 요청
- 거래 은행에 전화 — 모든 계좌 및 카드 일시 정지 요청
- 주요 계정 비밀번호 변경 (이메일, 은행, 간편결제)
- 통신사 대리점 방문 — 주민등록증 원본 지참, 번호 복구
- 경찰청 사이버수사국 신고 (182 또는 ecrm.police.go.kr)
- KISA(한국인터넷진흥원) 에 개인정보 침해 신고
| 연락처 | 전화번호 |
|---|---|
| SKT / KT / LG U+ | 114 |
| 경찰청 사이버수사 | 182 |
| KISA | 118 |
| 금융감독원 | 1332 |
복구 코드를 안전하게 보관하기 — LOCK.PUB
앱 인증(Google Authenticator 등)으로 전환하면 복구 코드(recovery codes)를 받게 됩니다. 이것은 휴대폰을 잃었을 때 유일한 "비상 열쇠"입니다.
문제는: 메모 앱에 저장하면 폰과 함께 사라집니다. 스크린샷은 해킹에 취약합니다. 카카오톡으로 보내면 누군가 볼 수 있습니다.
해결책: LOCK.PUB에서 비밀 메모를 만들어 복구 코드를 붙여넣고, 비밀번호를 설정한 뒤 링크를 본인이나 신뢰할 수 있는 가족에게 공유하세요. 내용은 암호화되어 비밀번호 없이는 볼 수 없습니다.
LOCK.PUB에서 만료 시간도 설정할 수 있어, 민감한 정보가 온라인에 영구적으로 남지 않도록 관리할 수 있습니다.
마무리
SIM 스와핑은 특히 SMS OTP에 의존하는 한국 금융 환경에서 심각한 위협입니다. 통신사 유심 잠금 설정, 앱 기반 인증 전환, 그리고 LOCK.PUB을 통한 복구 코드 안전 보관으로 피해 위험을 크게 줄일 수 있습니다.
통화가 끊기고 나서야 후회하지 마세요. 지금 바로 유심 보안을 강화하세요.
➡️ LOCK.PUB에서 비밀 메모 만들기 — 2FA 복구 코드를 안전하게 보관하세요.
관련 키워드
다른 글도 읽어보세요
불법 대출앱 사기: 연락처·사진을 인질로 삼는 수법과 대처법
불법 대출앱이 연락처와 사진을 수집해 협박하는 수법, 설치 전 확인해야 할 경고 신호, 이미 피해를 입었을 때 대처 방법을 알아봅니다.
부동산 사기 예방: 전세·월세·매매 사기 수법과 대처법
직방, 다방, 네이버부동산에서 흔한 부동산 사기 유형과 예방법. 허위 매물, 보증금 사기, 위조 서류를 구별하는 방법을 알아보세요.
네이버 카페·당근마켓 사기 수법 총정리: 커뮤니티 거래 사기 예방법
네이버 카페, 당근마켓, 중고나라 등 온라인 커뮤니티에서 발생하는 사기 유형과 예방법. 가짜 매물, 허위 리뷰, 피싱 링크를 구별하는 체크리스트.