SIM 스왑 사기 방지: 전화 인증으로 계정 탈취를 막는 방법 (KO)

SIM 스왑 공격은 사기꾼이 이동통신사를 속여 피해자의 전화번호를 공격자가 제어하는 SIM 카드로 옮겨 계정을 탈취하는 기술입니다. 일단 번호를 소유하게 되면, 로그인, 비밀번호 재설정 또는 거래 승인을 위해 해당 번호로 전송되는 모든 SMS 일회용 비밀번호(OTP)가 정당한 계정 소유자가 아닌 공격자의 손에 들어가게 됩니다.

이 공격은 대부분의 사용자와 많은 플랫폼이 안전하다고 믿는 인증 계층을 무력화하기 때문에 특히 효과적입니다. SIM 스왑이 어떻게 작동하는지, SMS OTP만으로는 왜 불충분한지, 그리고 더 강력한 제어를 계층화하는 방법을 이해하는 것이 효과적인 계정 탈취(ATO) 방어의 기초입니다.

핵심 요약

• SIM 스왑은 이동통신사 고객 서비스 팀을 사회 공학적으로 속여 피해자의 전화번호를 공격자가 제어하는 SIM으로 옮기는 것입니다.
• 공격자는 번호를 소유하게 되면 피해자를 대신하여 로그인, 비밀번호 재설정 및 거래 확인을 위한 SMS OTP(일회용 비밀번호)를 받을 수 있습니다.
• SMS OTP만으로는 고가치 계정에 대한 충분한 인증 요소가 아닙니다. SIM 스왑, SS7 가로채기 및 OTP 피싱 공격에 취약합니다.
• 전화 인증에 장치 및 IP 신호를 계층화하고, 민감한 작업에 생체 인식 스텝업을 요구함으로써 SMS OTP가 열어두는 공격 표면을 닫습니다.
• Didit은 IP 분석($0.03), 수동 라이브니스($0.10), 생체 인식 인증($0.10)과 함께 다채널 전화 인증(SMS, WhatsApp, Telegram, RCS, 음성)을 제공하여 스텝업 스택을 구성합니다.

SIM 스왑 공격 작동 방식

공격 순서는 간단합니다.

1. 타겟 선택 — 공격자는 일반적으로 데이터 유출 기록이나 소셜 미디어 조사를 통해 피해자를 식별하고 계정과 연결된 전화번호를 확인합니다.
2. 통신사 사칭 — 공격자는 피해자의 이동통신사에 전화를 걸어 계정 소유자인 척합니다. 유출된 데이터나 공개 소스에서 수집한 개인 식별 정보(PII)를 사용하여 SIM 전송을 요청합니다. “휴대폰을 잃어버려서 이 SIM에 제 번호를 활성화해야 합니다.”
3. 번호 포팅 — 통신사는 사기꾼과 정당한 고객을 구별하지 못하고 전송을 완료합니다. 피해자의 휴대폰은 서비스가 끊기고, 공격자의 SIM은 모든 수신 전화와 SMS를 받습니다.
4. 계정 탈취 — 공격자는 대상 플랫폼에서 비밀번호 재설정을 시작합니다. SMS OTP가 자신의 장치로 도착합니다. 새 비밀번호를 설정하고 계정을 제어합니다.

피해자는 일반적으로 휴대폰 서비스가 예기치 않게 끊기거나 자신이 수행하지 않은 작업에 대한 알림을 받을 때만 이를 알게 되며, 종종 피해가 발생한 후입니다.

SMS OTP만으로는 충분하지 않은 이유

SMS OTP는 전화번호가 단일 개인에게 안전하게 바인딩되어 있다고 가정하는 두 번째 요소로 설계되었습니다. SIM 스와핑은 플랫폼의 통제 범위를 벗어나 통신사 수준에서 그 가정을 무너뜨립니다. 하지만 이것이 유일한 약점은 아닙니다.

SS7 프로토콜 취약점 — 전 세계적으로 전화 트래픽을 라우팅하는 신호 시스템 7(SS7) 프로토콜은 SIM에 대한 물리적 접근 없이도 정교한 공격자가 전송 중인 SMS 메시지를 가로챌 수 있도록 하는 취약점이 문서화되어 있습니다.

OTP 피싱 — 실시간 피싱 키트는 인증 흐름을 프록시하여 피해자가 공격자의 가짜 사이트에 입력한 OTP를 추출하고 OTP 유효 기간 내에 실제 플랫폼에 재전송합니다.

SIM 파밍 — 조직적인 사기 집단은 가짜 신분으로 등록된 대량의 SIM 카드를 운영하며, 자격 증명 스터핑을 통해 이미 침해한 계정에 대한 OTP를 받는 데 사용합니다.

패턴은 일관적입니다. SMS OTP를 최종 보안 점검으로 취급하는 모든 시스템은 플랫폼 자체의 보안 제어를 건드리지 않고 우회될 수 있는 단일 실패 지점을 가지고 있습니다.

방어 스택: 함께 작동하는 계층

효과적인 SIM 스왑 방어는 단일 제어가 아니라 각 단계에서 공격을 비경제적으로 만드는 신호 및 검증 단계의 스택입니다.

계층 1: 등록 시 전화 인텔리전스

OTP를 발행하기 전에 전화번호 자체에 대한 정보를 수집합니다. 유용한 신호는 다음과 같습니다.

• 회선 유형: 이것이 휴대폰 번호입니까 아니면 VoIP(Voice over IP) 번호입니까? VoIP 번호는 통신사 확인 없이 즉시 프로비저닝될 수 있으며 사기 운영에 일반적으로 사용됩니다.
• 통신사 및 국가: 통신사가 사용자가 주장한 국가와 일치합니까? 사용자가 주장하지 않은 국가의 통신사에 등록된 번호는 플래그를 지정할 가치가 있습니다.
• 도달 가능성: OTP를 실제로 전달할 수 있습니까? 다채널 전달(SMS, WhatsApp, Telegram, RCS 또는 음성)은 도달 가능성을 테스트하는 동시에 사용자에게 옵션을 제공합니다.

이러한 신호는 단일 OTP를 보내기 전에 사용할 수 있습니다. 이를 통해 정당한 사용자의 경험에 영향을 주지 않고 고위험 번호에 더 엄격한 제어를 적용할 수 있습니다.

계층 2: OTP와 함께 장치 및 IP 신호

0.03달러의 IP 분석은 전화 인텔리전스만으로는 제공할 수 없는 컨텍스트를 추가합니다. IP가 장치의 선언된 위치와 일치합니까? 연결이 VPN, 프록시 또는 Tor 종료 노드에서 오는 것입니까? 이 IP가 이전 사기 시도와 관련이 있었습니까?

SIM 스왑은 일반적으로 새 장치 세션과 일치합니다. 공격자는 정당한 사용자가 사용했던 장치와 다른 장치를 가지고 있습니다. 세션 일관성(장치 유형, 브라우저/앱 지문, 시간대, 언어 설정)을 추적하는 장치 지문은 OTP가 완료되기 전에도 민감한 작업 중에 고가치 계정에 액세스하는 첫 번째 장치를 플래그할 수 있습니다.

계층 3: 민감한 작업에 대한 생체 인식 스텝업

높은 위험이 따르는 순간(대규모 인출, 새로운 결제 수단, 계정 복구, 주소 변경)에 대한 가장 강력한 제어는 사용자가 등록된 생체 인식과 일치하는 라이브니스 확인을 수행하도록 요구하는 생체 인식 스텝업입니다.

생체 인식 스텝업은 SIM 스왑 공격자가 만족시킬 수 있는 것이 아닙니다. 그들은 전화번호는 가지고 있지만, 얼굴은 가지고 있지 않습니다. 0.10달러의 수동 라이브니스와 0.10달러의 생체 인식 인증은 가장 큰 피해를 입힐 수 있는 지점에서 계정 탈취를 막는 검사입니다.

원칙은 비례적 마찰입니다. 저위험 세션은 정상적으로 진행되고, 고위험 작업은 정당한 사용자는 거의 눈치채지 못하지만 공격자는 통과할 수 없는 빠르고 모바일 기본 생체 인식 검사를 트리거합니다.

Didit이 돕는 방법

Didit의 전화 인증은 SMS, WhatsApp, Telegram, RCS, 음성 등 여러 채널을 통해 OTP를 전달하여 사용자가 있는 곳에서 사용자들을 만나고 단일 채널 SMS가 제공할 수 없는 전달 유연성을 제공합니다. 다채널 전달은 또한 프로토콜 전반에 걸쳐 번호의 도달 가능성을 테스트합니다. WhatsApp 메시지는 받을 수 없지만 SMS만 받을 수 있는 번호는 모든 채널에서 도달 가능한 번호와는 다른 위험 프로필을 가집니다.

전화 인증과 함께 Didit의 구성 가능한 워크플로는 다음을 계층화할 수 있도록 합니다.

• IP 분석($0.03) — VPN/프록시/Tor 감지, IP-국가 일관성, 사기 위험 점수 매기기.
• 수동 라이브니스($0.10) — 사용자가 실제 사람이며 현재 존재하며 정적 사진이 아님을 확인하는 2초 미만의 생체 인식 라이브니스 확인.
• 얼굴 매칭 1:1 ($0.05) — 라이브 캡처를 온보딩 시 등록된 초상화와 비교합니다.
• 생체 인식 인증($0.10) — 민감한 계정 작업에 대한 요청 시 생체 인식 매치를 재현하는 전체 스텝업 인증.

이 모든 것은 비즈니스 콘솔에서 구성되는 단일 노코드 워크플로로 결합됩니다. 스텝업 트리거(어떤 위험 점수 또는 작업 유형이 생체 인식으로 에스컬레이션되는지)는 코드 변경이 아닌 워크플로 빌더 구성입니다.

사용 사례

네오뱅크 및 EMI 계정 보안 — 고액 인출 요청 및 새로운 수혜자 추가는 금융 계정에서 가장 위험한 순간입니다. 이 시점에서 생체 인식 스텝업은 SIM 스왑이 악용할 수 있는 창을 닫습니다.

암호화폐 거래소 계정 복구 — 계정 복구 흐름은 암호화폐 거래소 ATO에서 가장 많이 악용되는 경로입니다. 계정 복구 중 생체 인식 매치를 요구하면 흐름이 SIM 스왑 방지됩니다.

iGaming 계정 관리 — 입금 방식 변경 및 인출 요청은 지급이 빠르고 종종 되돌릴 수 없기 때문에 게임 ATO에서 특별히 표적이 됩니다. 이러한 접점에서 스텝업 인증은 허가된 시장에서 규제 기대치입니다.

저장된 결제 수단이 있는 소비자 마켓플레이스 — 구매자 및 판매자 계정에 대한 결제 자격 증명을 저장하는 플랫폼은 사용자가 지급 은행 계좌를 변경할 때 스텝업 인증이 필요합니다. 이는 계정 탈취의 일반적인 목표입니다.

자주 묻는 질문

전화 인증 비용은 얼마입니까?

Didit의 전화 인증 가격은 전달 채널 및 볼륨에 따라 다릅니다. IP 분석은 $0.03, 수동 라이브니스는 $0.10, 생체 인식 인증은 $0.10입니다. 모두 월 500회 무료 검사를 포함하며 최소 사용량이 없습니다.

전화 인증이 모든 SIM 스왑 공격을 방지합니까?

전화 인증만으로는 그렇지 않습니다. SIM 스왑을 이미 완료한 공격자는 OTP를 받습니다. 방어는 전화 인텔리전스, 장치 신호 및 생체 인식 스텝업을 계층화하여 OTP 전달이 최종 검사가 되지 않도록 하는 데서 나옵니다.

수동 라이브니스와 생체 인식 인증의 차이점은 무엇입니까?

수동 라이브니스($0.10)는 온보딩 시 사용자가 실제 사람이며 현재 존재함을 확인합니다. 생체 인식 인증($0.10)은 민감한 작업 지점에서 ATO를 중지시키는 검사인 세션 중 스텝업을 위해 등록된 초상화에 대해 라이브니스 매칭된 얼굴 비교를 실행합니다.

공격자가 생체 인식 스텝업을 무력화할 수 있습니까?

생체 인식 스텝업은 정당한 사용자의 라이브 얼굴을 요구합니다. SIM 스왑 공격자는 전화번호는 가지고 있지만 얼굴은 가지고 있지 않습니다. 200개 이상의 사기 신호와 Didit의 iBeta 레벨 1 PAD 인증(0% IAPAR / 360개 공격)을 갖춘 수동 라이브니스는 스텝업 게이트에서 사진, 비디오, 마스크와 같은 프레젠테이션 공격을 탐지하도록 설계되었습니다.

세션 중 재확인에도 작동합니까?

예. Didit의 AWAITING_USER 메커니즘(거래 모니터링 엔진에서 차용)은 민감한 작업을 일시 중지하고, 생체 인식 스텝업을 트리거하며, 사용자가 이를 승인하면 작업을 자동으로 재개할 수 있습니다.

시작할 준비가 되셨습니까?

전화 인증, IP 분석, 수동 라이브니스 및 생체 인식 인증은 모두 Didit의 통합 신원 및 사기 플랫폼에서 구성 가능한 모듈입니다. 추가 통합 코드 작성 없이 워크플로 빌더에서 함께 구성할 수 있습니다.

• 문서 읽기 → docs.didit.me
• 플랫폼에서 확인 → 사용자 인증 제품 페이지
• 가격 확인 → 가격 — 월 500회 무료 검사, 최소 사용량 없음
• 무료 시작 → business.didit.me