• 선불폰·중계기·원격제어로 만들어낸 ‘위장 통신망’

• BPF 도어 악성코드로 ‘1등 통신사’ 중앙 서버 침투

• 중계소·콜센터 이중화, 기술 투자까지 감수하는 범죄 기업

• SK텔레콤서 해킹당한 유심 정보, 보이스피싱에 악용될 수도

• 갑자기 통신 불능 상태가 지속되면 유심 이상 의심해야

• 유심 재설정·인증 앱·유심보호 가입으로 유심 복제 막아야

1월 14일 보이스피싱 조직원 A씨는 울산지방법원 형사 1심 단독사건에서 ‘전기통신사업법’ 위반 혐의로 징역 8개월에 집행유예 2년을 선고받았다. 벌금 337만 원과 사회봉사 120시간 이수 선고도 떨어졌다. A씨는 보이스피싱 조직 총책인 B씨가 택배로 보낸 삼성전자 스마트폰 단말기에 CMC(Call&Message Continuity·다른 기기에서도 전화나 문자하기) 기능을 이용해 불특정 다수에게 금융기관 혹은 수사기관을 사칭하는 전화를 걸어 돈을 편취하는 유인책 역할을 한 혐의를 받는다. 그가 거주하던 원룸 주택가에서는 15개 회선의 유심(USIM)칩이 장착된 최신 스마트폰 22대가 발견됐다. 수사 과정에서 드러난 보이스피싱 범죄 수법은 이렇다. 

중국에서 건 전화가 ‘010’ 번호로 뜬 이유

A씨가 속한 보이스피싱 팀은 중국에 콜센터, 국내에 중계소를 각각 설립해 불특정 다수에게 금융기관이나 수사기관을 사칭하는 전화를 걸어 거짓말로 돈을 편취하는 범죄 조직이다. A씨가 맡은 역할은 중계소 관리책으로, 하부 조직원이다. 조직원은 수사기관의 추적을 피하고자 이른바 ‘대포폰’을 이용하면서 모바일 채팅 앱인 텔레그램, 카카오톡 오픈 채팅방, 위챗 등으로 만나지 않고 연락하는 등 치밀한 점조직 형태로 운영됐다. 

A씨가 보이스피싱 범죄에 가담하게 된 경위는 2022년 10월 6일 구인구직 사이트에서 B씨를 알게 되면서다. B씨는 A씨에게 자신이 택배로 보내주는 스마트폰에 유심칩을 끼운 뒤 원격제어 애플리케이션(앱)인 ‘에어 드로이드(Air Droid)’를 설치해 휴대전화 전원이 24시간 꺼지지 않도록 관리해 주면 매월 보수 45만 원을 지급하겠다고 제안했다. A씨는 2022년 10월 6일부터 B씨 권유로 보이스피싱 범죄에 처음 가담한 뒤 2023년 3월 29일까지 5개월가량 적극적으로 범행을 공모했다. A씨의 합류 덕에 중국 콜센터 조직원이 현지에서 전화를 걸더라도 받는 사람들에겐 유심이 부여하는 국내 이동전화번호(010)로 표시됐다. 당시 수사를 담당한 수사관의 말이다. 

“과거에는 보이스피싱 조직원이 국제전화 ‘00700’이나 인터넷전화 ‘070’ 같은 번호로 관공서나 금융기관을 사칭했다. 하지만 최근 들어 이러한 번호로 수신되는 전화는 보이스피싱일 가능성이 크다는 인식이 퍼지면서 아예 전화를 받지 않는 사람이 많아졌다. 그 때문에 보이스피싱 조직이 범죄 성공률을 높이기 위해 ‘심박스’라고 불리는 사설 변작중계기를 고안했다. 타인 명의로 개통한 선불폰 유심을 구입해 스마트폰 단말기에 연결한 뒤 중계기와 원격제어 앱을 매칭하는 일명 ‘고정형 중계소’ 방식으로 유심에 부여된 국내 이동통신 번호를 이용해 보이스피싱 사기 범행을 이어간다. 이렇게 하면 해외나 인터넷전화로 걸려온 보이스피싱 전화번호라도 수신자 단말기에는 일반전화 ‘02’ 또는 이동전화 ‘010’ 번호가 찍힌다.” 

보이스피싱 총 피해액 1년 새 91% 증가 

현행 전기통신사업법에는 거짓 또는 부정한 방법으로 전기통신사업자가 제공하는 전기통신역무를 이용해 타인의 통신을 매개한 사람은 1년 이하의 징역 또는 5000만 원 이하의 벌금에 처한다고 규정돼 있다. 경찰은 첨단기술을 활용한 보이스피싱 범죄가 기승을 부리는 이유를 막대한 경제적 이득에서 찾았다. 한 수사관은 “보이스피싱 조직이 범죄에 이용한 중계기, 유심, 스마트폰, 통신 이용료 등 각종 비용을 추산했을 때 매달 운영비용은 7000만~8000만 원이다. 이러한 비용을 부담해서라도 조직원들이 더 큰 수익을 낼 수 있도록 보이스피싱 수법이 날로 진화하는 것이라고 봐야 한다”며 씁쓸해했다. 



실제로 보이스피싱 범죄에 따른 피해액은 날로 증가하는 추세다. 경찰청이 집계한 ‘보이스피싱 범죄 현황’을 보면, 2024년 발생한 보이스피싱 총 발생 건수는 2만839건으로, 전년(1만8902건) 대비 10% 증가했다. 눈여겨볼 점은 보이스피싱 피해자 총 피해액과 1인당 피해액이 점차 증가한다는 것. 총 피해액은 2023년까지만 해도 4472억 원이었지만 2024년 8545억 원으로 91% 넘게 폭증했다. 지난해 보이스피싱 1인당 피해액도 전년 대비 73%(1734만 원) 증가한 4100만 원으로 집계됐다. 피해액이 1억 원이 넘는 피해자는 1793명이었다. 전화 한 통에 30억 원이 넘는 거액을 사기당한 피해자도 있었다. 

보이스피싱 범죄 수법이 날로 진화하고 교묘해지는 상황에서 최근 발생한 SK텔레콤 유심 해킹 사건은 소비자를 더욱 불안하게 만든다. 유심 해킹은 해커가 유심 정보를 탈취하거나 통신사 시스템을 뚫어 유심을 복제하는 수법으로 다른 단말기로 통신 기능을 가로채는 행위를 일컫는다. 과거엔 유심을 복제하는 방식이 성행했지만, 현재는 해커가 개인정보를 탈취한 뒤 가입자를 사칭하는 식으로 통신사 인증 체계를 우회하는 경우가 많다. 

접근 어려운 중앙 서버에서 2300만 정보 유출

최근 발생한 SK텔레콤 유심 해킹 사건은 기존 우회 방식과는 다르게 통신사의 핵심 서버에 악성코드를 심어 유심 정보를 탈취하는 수법의 고도화된 사이버 공격에 따른 것이다. 과학기술정보통신부 민간합동조사단은 4월 29일 “SK텔레콤 서비스에서 중국 해커 그룹 ‘레드멘션’이 개발해 수년간 해킹에 활용해 온 것으로 알려진 BPF 도어(Berkeley Packet Filter Door) 계열의 악성코드 4종을 발견했다”고 밝혔다. BPF 도어는 리눅스 기반 운영체제(OS)에서 통신 데이터를 감시하는 일종의 문이다. BPF 도어는 해커가 BPF에 관리자 몰래 뒷문을 새로 만들어 특정 데이터를 이 문을 통해 탈취하게 한다. 은닉성이 강하기 때문에 뒷문의 존재를 발견하기 전까지는 해커의 흔적을 찾기가 쉽지 않다.

민간합동조사단이 SK텔레콤 서버를 조사한 결과에 따르면 해커가 유출한 정보는 가입자 전화번호, 가입자 식별번호(IMSI) 등 유심 복제에 활용 가능한 4종과 유심 정보 처리 등에 필요한 SK텔레콤 관리용 정보 21종이다. 다만 5월 중순 현재까지 단말기 고유식별번호(IMEI) 유출은 없는 것으로 확인됐다. 

SK텔레콤 해킹 사태가 사람들에게 충격을 주는 이유는 중앙 서버에 저장된 핵심 정보가 해킹당했기 때문이다. 박춘식 고려대 정보대학 연구교수(전 국가보안기술연구소장)는 “2023년 초 LG유플러스 가입자 30만 명의 정보가 유출됐던 해킹 사고는 비교적 하위 서버인 고객인증시스템(CAS)이 공격받은 경우지만, SK텔레콤 해킹 사태는 물리적으로 접근이 어려운 폐쇄망 내부(중앙 서버)에서 발생한 고도의 사이버 공격으로 분석된다. 무엇보다 2300만 명이 넘는 이용자의 핵심 정보가 중앙 서버에서 빠져나갔다는 점에서 사태의 심각성이 크다”고 분석했다. 

SK텔레콤 유심 해킹 사태 이후 유심 교체 및 재발급, 번호이동, 해지 등을 요청하는 사용자가 늘고 있다. 무엇보다 유출된 유심 정보로 조직원이 복제폰을 만들 가능성을 우려하는 이들이 많다. 전문가들은 유출된 정보만으로 복제 유심이나 복제폰을 만드는 건 이론상으로 가능하지만, 실제 복제폰이 통신망에서 작동하는 것은 현실적으로 어려울 것으로 추정한다. 과거 2세대, 3세대 이동통신에선 유심에 저장된 가입자 고유번호, 가입자 인증키(Ki) 등을 탈취할 경우 칩 복제가 가능했다. 그러나 현재 4세대 LTE, 5세대 이동통신 환경에선 가입자 인증키는 외부로 유출 불가능한 보안 영역에 저장되는 데다 통신 접속 시 실시간 인증이 필수로 요구된다. 

염흥렬 순천향대 정보보호학과(한국개인정보보호책임자협의회 회장) 교수는 “범죄자가 유출한 유심 정보로 중계기에서 유효한 번호를 생성해 복제폰을 만든다 해도 SK텔레콤이 해당 단말기를 탐색하는 과정에서 네트워크가 정상적으로 작동하지 않을 가능성이 있다”며 “통신망은 가입자 고유번호와 가입자 인증키, 단말기 고유번호 등 3개가 매칭돼야 정상 단말기로 인식하는데, 유심보호서비스(유심에 안심 기능을 설정해 무단 기기변경을 차단하고 해외 로밍을 제한하는 기능)에 가입돼 있으면 복제폰이 만들어져도 작동하지 않는다”고 설명했다. 

법적 구제받기 어려워… 입증 책임 전환 검토 필요 

현재 탈취된 유심 정보만으로 금융계좌나 메신저에 접근하는 것 역시 가능성이 크지 않다는 게 전문가들의 시각이다. 최경진 가천대 법학과 교수(한국인공지능법학회 회장·전 개인정보보호법학회장)는 “SK텔레콤 해킹 사태로 유출된 정보는 망과 연동된 개통과 통신사 인증 관련 정보다. 개인정보가 들어 있는 물리적 메모리 공간과 분리돼 있어 유심에서 탈취한 정보만으로 금융계좌에 바로 접속하는 건 어렵다”고 말했다. 

최악의 상황은 이번 사태로 유출된 정보가 다크웹을 거쳐 보이스피싱 범죄 조직에 흘러가는 경우다. 박춘식 교수는 이에 대해 “SK텔레콤 중앙 서버를 침투한 해커가 만약 유출한 개인정보를 암시장에서 유통할 경우 복제폰보다 더 큰 문제가 발생할 수 있다”며 “철저한 원인 분석과 대책 마련으로 2차 피해를 예방해야 한다”고 당부했다. 

스마트폰 해킹 여부를 확인하는 방법은 뭘까. 갑자기 문자가 전송되지 않거나 통신 불능 상태가 지속되면 유심 이상을 고려해야 한다. 계정에 알 수 없는 로그인 흔적이 있다면 스마트폰 자체 해킹 가능성을 배제할 수 없다. 배터리가 비정상적으로 빨리 닳는다면 악성 앱이나 원격 제어 앱 작동을 의심해 볼 수 있다. 

전문가들은 유심 재설정과 유심보호서비스 가입의 필요성을 강조했다. 박춘식 교수는 “유심 교체가 우선이지만 당장 교체하는 게 어렵다면, 유심 재설정과 유심보호서비스에 가입할 필요가 있다”며 “지문이나 얼굴을 통한 생체인증 절차를 통과하도록 하는 것도 한 방법”이라고 했다.

유심 교체에 어려움을 겪는다면 스마트폰에 내장된 식별 모듈인 이심(eSIM·휴대전화 내부에 내장된 유심 카드) 설치만으로 유심 교체 효과를 낼 수 있다. 이심은 큐알(QR)코드를 통해 통신사 프로파일을 내려받아 즉시 사용할 수 있어 물리적 유심 카드 배송이나 구매가 필요 없다. 다만 최신 기종만 가능하다는 제약이 있고, 기기 파손 시 교체가 번거롭다는 단점이 있다. 통신사가 제공하는 ‘스미싱 차단 앱’이나 PASS 등 인증 앱 로그인 알림 기능도 활성화해 새로운 기기에서 인증서를 설치할 때 실시간 확인하는 습관을 들이는 것도 좋다. 

보이스피싱 번호 변경 조작으로 인한 피해나 유출된 유심 정보로 인해 추가 피해를 본 경우 법적 구제를 받을 수 있을까. 성선제 미국(뉴욕) 변호사(전 고려대 정보보호대학원 초빙교수)는 “소비자가 SK텔레콤을 상대로 손해배상 소송을 제기해 해당 기업이 보안 시스템을 허술하게 관리했다는 점을 입증하기는 쉽지 않을 것”이라면서도 “민사적 책임의 일반원칙에 따르면 피해자가 손해배상을 받기 어려운 법적 구조이므로 입증 책임 전환이나 특별법 제정을 통해 SK텔레콤이 해킹 사태 때부터 보안 관리를 어떻게 했는지 입증하게 해야 한다”고 말했다. 그는 “무엇보다 SK텔레콤은 유심칩 교체에서 더 나아가 예방적 보상과 사회적 책임을 다하는 모습을 보임으로써 국민의 신뢰를 얻는 계기로 삼아야 할 것”이라고 지적했다.