서울에 사는 50대 박 모 씨는 지난해 8월 뜬금없는 문자를 받았습니다. 자신의 명의로 알뜰폰이 개통됐단 겁니다. 피싱 사기인가 의심하면서도 혹시나 하는 마음에 해당 통신사에 전화했더니, 정말 자신의 명의로 휴대전화가 개통돼있었습니다.
박 씨는 "해당 통신사가 말하길, 온라인으로 개통됐는데 운전면허증으로 실명 인증 했다는 것 같더라고요."라고 말했습니다. 누군가 박 씨의 정보를 도용해 알뜰폰을 개통한 겁니다.
■ '엠세이퍼' 가입제한 신청해놨는데도…. 누군가 '알뜰폰 개통'
일단 급하게 해지를 하고, '엠세이퍼'에 가입제한 신청도 했습니다. 엠세이퍼(https://www.msafer.or.kr/index.do)는 한국정보통신진흥협회가 제공하는 서비스입니다. 이동전화나 무선인터넷 등에 신규 가입하거나 명의 변경을 통해 양도받을 때, 그 사실을 해당 명의자의 기존 연락처 문자메시지 등으로 알려주는 서비스를 합니다. 이런 엠세이퍼의 개통 알림 문자서비스는 통신 3사 이용자뿐 아니라 알뜰폰 가입자들도 이용할 수 있습니다.
엠세이퍼에는 '가입제한 서비스'도 있습니다. 누구나 이 서비스를 신청하면 이동통신 가입이 원천적으로 제한돼 명의도용 위험을 차단할 수 있습니다.
그런데 두 달 뒤인 10월, 가입제한 신청이 해지됐다는 이메일이 왔습니다. 그 이후 곧바로 알뜰폰이 개통됐다는 문자가 왔습니다. 첫 번째 개통 때와는 다른 알뜰폰 업체였습니다. 해당 업체에 문의했더니 이번엔 주민등록증과 범용인증서로 인증 과정을 통과해 개통했다고 했습니다.
박 씨는 "도대체 어떻게 뚫었는지 그게 가장 궁금하다."라며 "지금까지도 불안해서 휴대전화를 멀리 놓고 자질 못한다"고 고통을 토로했습니다.
■ 알뜰폰 개통되니 SNS 계정 뚫리고 결국 가상자산 탈취까지
충남 논산에서 식당을 운영하는 30대 한 모 씨도 비슷한 일을 겪었습니다. 누군가 한 씨 명의로 알뜰폰을 두 번이나 개통한 겁니다. 특히 두 번째 알뜰폰이 개통됐던 지난해 10월엔 충격이 컸습니다.
점심시간이라 식당일로 정신 없다 보니 개통 문자가 온 지 1시간 정도 지나서야 확인했는데 깜짝 놀랐습니다. 알뜰폰이 개통된 뒤 네이버, 카카오톡, 업비트 등 계정에 로그인됐다는 알람이 와있던 겁니다.
한 씨 명의로 알뜰폰을 개통한 범죄조직은 카카오톡이나 네이버 등 계정에서 '내 아이디 찾기', '내 계정 찾기' 서비스에 들어간 뒤 개통한 휴대전화로 본인인증을 해 아이디를 찾고 비밀번호까지 변경한 것으로 추정됩니다.
계정에 대한 접근이 끝이 아니었습니다. 카카오톡으로 로그인 가능한 가상 자산 지갑에 로그인한 이들은 한 씨의 가상자산 지갑 비밀번호까지 입력해 가상자산 600만 원어치를 빼갔습니다. 이미 확보한 개인정보에 '본인인증'을 할 수 있는 휴대전화까지 개통했다 보니 사실상 '무적'에 가까웠던 것으로 추정됩니다.
최상명 스텔스모어 인텔리전스 이사는 "아무래도 인증 절차를 통과하기 위한 개인정보가 인터넷에 많이 공개돼있기 때문에 해커들이 이를 악용하면 충분히 로그인을 할 수 있다."라며 "사용자의 패턴이나 그런 것들을 분석해서 사용자의 비정상적인 행위에 대한 차단이나 알람이 필요할 것으로 보인다."라고 지적했습니다.
또, 최상명 이사는 "제로 트러스트라는 말이 많이 나오는데, 사용자가 해킹당했다고 가정을 하고 1차 인증을 통과하더라도 2차 인증에서도 다시 한번 그 사람이 맞는지 검증하는 과정이 필요하다."라며 "그런 부분들이 철저하게 되지 않으면 충분히 우회 과정을 통해서 다양한 해킹이 발생할 수 있습니다."라고 설명했습니다.
한 씨는 "투자 목적으로 가상화폐를 보유하고 있었는데 요즘 아무래도 시장이 좋으니까 너무 분하죠"라며 "좀 무섭더라고요. 어떻게 보호해야 할지 방법을 모르니까요!"라고 말했습니다.
또, 한 씨는 "8월에 한 번 알뜰폰이 개통된 뒤 여러 조치를 해놔서 괜찮다고 생각했는데 두 번째 개통까지가 마치 '잠복기' 아니었나 생각한다."라며 "경계가 느슨해지길 기다린 건가 싶기도 하고, 정보를 탈취당한 사람은 아무리 막아도 다음에 또 뚫릴 수 있구나, 막을 수가 없구나 트라우마가 생긴 것 같다."라고 고통을 토로했습니다.
박 씨처럼 한 씨 또한 1차 알뜰폰 개통 피해 이후 '엠세이퍼'의 가입제한 서비스를 신청했는데도 두 달 뒤 누군가 자신의 명의로 알뜰폰을 온라인으로 개통했다보니 어디에 의지해야 하는지 깜깜하다고 말합니다.
한 씨는 주기적으로 신분증을 재발급받고, 운전면허증 등 신분증에 있는 개인정보 부분에 스티커를 붙인 채 가지고 다니고 있습니다.
나름대로 명의도용 방지를 위해 노력한 이들이 어떻게 또다시 알뜰폰 부정 개통 피해를 입었는지 다음 기사에서 연결됩니다.
다음 기사 : [탈탈털털②][취재후]타깃 되면 '엠세이퍼'도 무용지물?
| 온라인이나 스마트폰, PC 등에서 해킹, 개인정보 탈취 등 사이버 보안 문제로 피해를 본 분들의 제보를 기다립니다. 연락처 : hacking119@kbs.co.kr |