최근 국내의 한 주요 통신사에서 홈 가입자 서버(Home Subscriber Server, HSS)가 침해되는 보안 사고가 발생하였다. HSS는 이동통신 가입자의 핵심 정보를 통합 관리하는 시스템으로, 이번 사고를 통해 IMSI(국제 가입자 식별번호), ICCID(USIM 카드 일련번호), USIM 인증 키 등 민감한 정보가 유출되었다. 이는 단순한 정보 유출에 그치지 않고, USIM 복제 및 SIM 스와핑(SIM Swapping) 공격으로 이어질 수 있는 중대한 위협을 야기한다.
본 포스팅에서는 해당 사고에서 사용된 BPFDoor 백도어 악성코드의 특성과 탐지 회피 방식, 유출된 USIM 정보를 활용한 주요 공격 기법, 실제 피해 사례, 그리고 이에 대한 효과적인 대응 방안을 종합적으로 분석한다.
이번 침해 사고에서 사용된 악성코드는 BPFDoor로 명명된 백도어다. 이 악성코드는 BPF(Berkeley Packet Filter) 기술을 활용하여 리눅스 커널 레벨에서 네트워크 패킷을 감시하고 특정 패턴의 패킷이 도달했을 때만 활성화된다.
BPFDoor는 일반적인 네트워크 포트나 서비스로 응답하지 않으며, 공격자가 전송하는 '매직 시퀀스' 패킷에만 반응한다. 따라서 일반적인 포트 스캐닝이나 트래픽 모니터링으로는 존재를 파악하기 어렵다. 또한, 해당 악성코드는 리눅스 시스템 상의 정상 프로세스 이름을 위장하여 백그라운드에서 은밀하게 동작하기 때문에 관리자가 시스템을 점검하더라도 쉽게 식별되지 않는다.
이러한 특성으로 인해 BPFDoor는 장기간 탐지를 회피하며 C2(Command and Control) 접속 시점까지 비활성 상태로 유지될 수 있는 고도화된 위협 요소로 분류된다.
SIM 스와핑(SIM Swapping) 공격은 공격자가 피해자의 USIM 정보를 탈취하거나 변조하여, 이동통신사의 인증을 거쳐 피해자의 전화번호를 자신의 SIM 카드로 이전하는 방식의 공격이다. 이 공격을 통해 공격자는 피해자의 휴대전화로 수신되는 SMS 인증, ARS 인증, OTP 등을 가로채며, 주요 계정(인터넷 뱅킹, SNS, 암호화폐 거래소 등)에 대한 접근 권한을 탈취할 수 있다.
공격자가 피해자의 개인정보(이름, 주민번호, 휴대전화 번호 등)를 활용하여, 대리점 또는 타 통신사에 방문하거나 온라인을 통해 정상적인 번호 이동 또는 신규가입 요청을 수행하는 방식이다. 이 경우 공격자는 정상 사용자로 위장하여 새로운 USIM을 발급받는다.
더 정교한 공격의 경우, 공격자가 통신사의 내부 시스템에 접근하여 피해자의 USIM 정보(예: ICCID, IMSI)를 자신이 소지한 USIM 정보로 직접 변경하는 방식이다. 이 경우 별도의 대면 절차 없이 원격으로 통신 정보가 변경되어 피해자가 이상 징후를 인식하기 어렵다.
SIM 클로닝(SIM Cloning)은 공격자가 탈취한 USIM 관련 정보를 기반으로 빈 USIM 칩에 동일한 정보(인증 키, ICCID, IMSI 등)를 복제하는 방식이다. 이 과정에는 전문적인 복제 장비가 사용되며, 복제된 USIM을 통해 실제 사용자로 가장한 인증 요청이 가능해진다.
SIM 클로닝은 주로 내부 시스템의 보안이 취약한 통신사를 표적으로 하며, 클로닝된 USIM이 활성화되면 피해자는 본인의 전화기가 더 이상 통신 서비스에 연결되지 않게 되어 공격 여부를 인지하게 된다.
2019년 8월 30일, 트위터 CEO인 잭 도시(Jack Dorsey)의 휴대전화 번호가 SIM 스와핑을 통해 탈취되었으며, 이를 기반으로 트위터 계정에 접근한 공격자가 약 15분간 인종차별, 폭력 조장, 욕설 등의 트윗을 게시하였다. 공격자는 이동통신사 직원을 속이거나 협력하여 도시의 번호를 자신의 SIM으로 이전하였으며, ‘#ChucklingSquad’ 해시태그를 통해 자사 소행임을 과시하였다.
2024년 1월 9일, 미국 SEC의 공식 트위터 계정이 침해되었다. 공격자는 계정 관리자 정보를 기반으로 위조 신분증을 제작하여 통신사 지점을 방문, 관리자의 번호를 새로운 SIM으로 이전하였다. 이후 트위터 계정에 접속해 비트코인 ETF 승인이라는 허위 정보를 게시했으며, 이로 인해 비트코인 가격이 급등 및 급락하는 시장 교란이 발생하였다. 해당 사건은 전형적인 SIM 스와핑 공격의 형태로, 정보 탈취와 금융시장 교란이라는 이중의 피해를 초래하였다.
2020년에는 하버드 출신의 니콜라스 트루글리아(Nicholas Truglia)가 2,400만 달러 상당의 암호화폐를 SIM 스와핑으로 절도한 혐의로 기소되었다. 그는 통신사 내부 인력과 결탁하거나, 피해자 정보를 이용해 거래소 인증 수단으로 쓰이는 SMS 인증을 탈취하는 방식으로 자산을 가로챘다. 이와 같은 공격은 지금도 국내외에서 빈번히 발생하며, 특히 거래소 및 투자자 계정 보안이 미흡한 경우 주요 표적이 된다.
USIM-IMEI 연동 서비스 활용: 일부 통신사는 USIM과 IMEI(단말기 고유 식별번호)를 연동하여, 지정된 단말기 외의 기기에서 해당 USIM을 사용할 경우 자동으로 비활성화하는 보호 기능을 제공한다. 이는 SIM 클로닝을 효과적으로 차단할 수 있다.
이중 인증 수단 변경: SMS 및 전화 인증 대신, 인증 앱(Authenticator), 보안 키(FIDO), 이메일 기반 복구 등을 활용하는 것이 권장된다.
계정 활동 알림 기능 활성화: 새 기기 로그인 시 알림, 의심스러운 로그인 감지 등의 기능을 반드시 설정해야 한다. 이는 SIM 스와핑 이후 계정 접속 시도를 빠르게 인지할 수 있는 핵심 수단이다.
SIM 스와핑 피해는 다음과 같은 현상을 통해 탐지할 수 있다:
휴대폰에 ‘USIM이 인식되지 않음’ 또는 ‘SIM 삽입 필요’ 등의 메시지가 표시됨
갑작스런 통화 불가 및 모바일 데이터 차단
야간 또는 새벽 시간대에 통신 불가 현상 발생 (공격자가 피해자의 수면 시간을 노리는 경우가 많음)
이러한 징후가 발견되면 즉시 다음 조치를 취해야 한다:
인터넷 뱅킹, 암호화폐 지갑 등 중요 계정의 비밀번호 변경
통신사 고객센터를 통한 USIM 재발급 내역 확인 및 즉시 차단
관련 기관 및 피해 발생 가능 서비스(금융기관, SNS 등)에 사고 사실 신고
HSS 서버 침해를 통한 USIM 정보 유출 사건은 단순한 개인정보 침해를 넘어, 계정 탈취, 자산 절도, 금융시장 혼란으로까지 이어질 수 있는 고위험군 보안 사고이다. USIM 정보를 기반으로 한 SIM 스와핑 및 클로닝 공격은 점점 정교해지고 있으며, 피해자는 정보 유출을 인지하지 못한 상태로 수일간 통제권을 상실할 수 있다.
이에 따라 기업과 개인 모두는 이중 인증 수단의 다변화, SIM 보호 기능의 활성화, 계정 이상 활동 감시 기능의 적극적 사용을 통해 위협에 대비해야 한다. 또한, 통신사와 보안 기업은 BPFDoor와 같은 탐지 회피형 악성코드에 대한 고도화된 탐지 체계를 갖추는 것이 요구된다.