비대면 본인 인증 체계가 문제였을까? 알뜰폰 사업자를 위한 솔루션!
안녕하세요, AI 기반 아이덴티티 플랫폼 아르고스 아이덴티티(ARGOS Identity) 입니다.
이번 사례는 사람의 신원(Identity)을 직접 확인하는 근본적인 인증 시스템의 필요성을 다시 한번 일깨우고 있습니다.
그 중, 고객 확보와 보안이 모두 중요한 알뜰폰 고객사에게 심각한 위협으로 다가오고 있습니다. 오늘은 이 사건의 범행 수법을 자세히 살펴보고, 우리가 직면한 보안 위협과 그에 대한 근본적인 해결책을 알아보겠습니다.
과연 비대면 본인 인증 체계가 문제일까? 범행이 저질러진 순서와 주요 개념
이번 해킹 사건은 단순히 개인정보를 탈취하는 것을 넘어, 공공기관과 민간 시스템의 취약점을 결합한 매우 조직적이고 지능적인 범죄였습니다. 이들의 범행 수법은 크게 세 단계로 이루어졌습니다.
1. 준비 단계: 피해자 정보 탈취 및 물색
공공기관 해킹: 범행의 시작은 정부 및 공공기관 6곳(도로교통공단, 한국철도공사 등)의 누리집 해킹이었습니다. 이들은 이 과정에서 피해자 258명의 신분증 정보, 계좌번호 등 핵심 개인정보를 대량으로 확보했습니다.
자산 규모 조회: 탈취한 정보로 금융결제원이 운영하는 계좌 조회 시스템에 접근해 피해자의 자산 규모를 파악했습니다. 55조 원에 달하는 계좌들을 조회한 뒤, 범죄 성공률을 높이기 위해 BTS 멤버 정국과 같은 유명인 및 자산가를 최종 표적으로 삼았습니다.
2. 공격 단계: 명의 도용과 알뜰폰 개통
알뜰폰 시스템 악용: 탈취한 개인정보를 이용해 알뜰폰 업체 12곳에서 89개의 전화 회선을 피해자 명의로 개통했습니다.
비대면 본인인증 우회: 일부 알뜰폰 업체의 간편인증 과정은 보안이 취약해 명의를 쉽게 도용할 수 있었습니다. 특히 해외 체류 중인 유명인들을 노려 알림 문자조차 즉시 전달되지 않는 점을 악용했습니다.
인증 수단 마련: 개통한 알뜰폰과 해킹한 본인인증 기관을 통해 공동인증서와 아이핀을 피해자 명의로 발급받아, 금융 계좌에 접근할 수 있는 핵심 인증 수단을 마련했습니다.
3. 자산 탈취 단계: 금융 및 가상 자산 인출
무단 접근: 발급받은 인증서를 이용해 피해자의 은행 및 증권 계좌, 가상 자산 거래소에 무단으로 침입했습니다.
자금 인출 및 세탁: 계좌에 있던 390억 원의 예금, 주식, 가상 자산 등을 무단으로 인출했습니다. 이렇게 빼돌린 돈은 추적을 피하기 위해 복잡한 자금 세탁 과정을 거쳐 현금화되었습니다.
알뜰폰 비대면 신원인증의 문제는 무엇이었을까?
이번 사건에서 문제가 된 알뜰폰 사업자의 신분증 기반 신원인증은 다음 두 가지 과정을 통해 이루어졌습니다.
신분증 OCR: 고객이 촬영한 신분증 사진에서 이름, 주민등록번호 등의 정보를 자동으로 추출합니다.
신분증 정보 진위확인: 추출된 정보가 실제 정보와 일치하는지 공공기관 데이터와 비교합니다.
겉보기에는 완벽해 보이지만, 이 두 가지 과정만으로는 신분증의 '실제 소유자'와 '위조 여부'를 검증할 수 없는 치명적인 허점이 존재합니다.
알뜰폰 사업자 프로세스의 근본적 문제 : 인증 과정에 대한 평가 알고리즘 부재
알뜰폰 사업자의 인증 과정에서 발생하는 문제의 핵심 원인은 '평가 알고리즘 부재'에 있습니다. 이로 인해 다음과 같은 세부적인 취약점이 드러났습니다.
신분증 사본 판별 부재: 제출된 신분증이 원본이 아닌 단순한 사본이나 위조된 이미지인지 구별할 수 없습니다. 오직 OCR을 통해 추출된 정보의 진위만 확인하기 때문에, 위조된 신분증으로도 인증을 통과할 수 있었습니다.
셀카(Selfie) 인증 부재: 신분증 정보가 실제 본인 것인지 확인하는 절차가 없었습니다. 신분증 소유자가 아닌 타인이 위조 신분증을 들고 있어도 본인 확인 절차가 없으니, 명의 도용을 막을 수 없었습니다.
실존 여부(Liveness) 판별 부재: 셀카 인증 절차가 없으니, 신청자가 살아있는 실제 사람인지, 아니면 정교하게 만들어진 사진이나 동영상인지 판별할 수 있는 기술(Liveness Detection)도 부재했습니다.
이러한 문제들은 신분증 정보만으로 모든 인증을 진행하는 방식의 한계를 명확히 보여주며, 허술한 인증 절차를 거친 알뜰폰 개통이 해킹 조직의 주요 공격 통로가 되는 결과를 낳았습니다.
해외 유사 사례 살펴보기
이와 유사한 범죄 수법은 '심 스와핑(SIM Swapping)'으로 불리며 해외에서도 빈번하게 발생하고 있습니다. 심 스와핑은 유심(SIM) 정보를 도용하거나 복제해 휴대폰 인증 번호를 가로채고, 이를 통해 금융 계좌에 접근하여 자산을 탈취하는 신종 해킹 수법입니다.
2021년, 미국 최대 통신사 중 하나인 T-Mobile에서는 1억 명 이상의 고객 정보가 유출되는 대규모 해킹 사건이 있었습니다. 이 해킹으로 이름, 전화번호, 사회보장번호(SSN) 등 민감한 개인정보가 유출되었습니다. 해커들은 이 정보를 바탕으로 심 스와핑 공격을 시도하여, 피해자들의 전화번호를 자신의 유심에 할당해 거액의 가상자산을 빼돌리는 등의 2차 범죄를 저질렀습니다.
이는 통신망과 개인정보가 결합된 인증 체계가 얼마나 취약할 수 있는지 보여주는 대표적인 사례입니다.
알뜰폰 고객사를 위한 궁극적인 해결 방법!
이번 사건은 알뜰폰 사업자들이 단순히 저렴한 요금제를 제공하는 것을 넘어, 보안 시스템을 근본적으로 강화해야 할 필요성을 보여줍니다. 휴대폰 인증의 취약점을 보완하기 위해 다음과 같은 대책이 필요합니다.
다중 인증(Multi-Factor Authentication, MFA) 의무화: 계정 생성, 유심 재발급, 중요 금융 거래 등 민감한 행위에 대해 최소 2단계 이상의 인증 절차를 의무화해야 합니다. 휴대폰 인증뿐만 아니라 생체 인식(얼굴, 지문), 혹은 별도의 보안 질문 등을 추가하여 한 가지 인증 수단만으로는 접근할 수 없도록 만들어야 합니다.
비대면 신원 확인 시스템 고도화: 문자로만 인증하는 방식에서 벗어나, AI 기반의 신분증 OCR, 얼굴 인식 등 사람의 실체를 직접 확인하는 기술을 도입해야 합니다. 이는 명의 도용을 근본적으로 차단하는 가장 효과적인 방법입니다.
실시간 이상 거래 탐지 시스템 강화: 계좌에 대한 무단 접근, 비정상적인 유심 변경 후 거액의 자금 인출 시도 등 평소와 다른 패턴을 실시간으로 감지하고 자동으로 거래를 차단하는 시스템을 구축해야 합니다.
ARGOS가 보완책이 될 수 있는 부분은?
이러한 해킹 사건은 단순히 휴대폰이나 통신망에 의존하는 본인인증 방식의 한계를 명확히 보여줍니다. 아르고스의 ID check 서비스는 이러한 문제를 해결할 수 있는 근본적인 보완책이 될 수 있습니다.
ARGOS ID check의 차별점
사람의 실체 직접 인증: ARGOS의 ID check는 통신망에 의존하지 않고, 신분증 OCR, 얼굴 인식, Liveness Detection(실존 여부 감지) 등 다중 요소를 활용해 사용자의 실체를 독립적으로 검증하는 end-to-end 인증 체계를 제공합니다. 해커가 피해자의 명의로 알뜰폰을 개통했더라도, 얼굴 인식 단계에서 본인 확인을 통과할 수 없기 때문에 명의 도용을 원천적으로 차단할 수 있습니다.
강력한 보안성 및 정확성: AI 기반의 ID check는 위조된 신분증이나 사기 시도를 효과적으로 탐지하며, 99.996%의 높은 정확도로 신원 인증을 수행합니다. 이는 민감한 금융 거래나 고액 자산 이동 시 신뢰도를 높여줍니다.
글로벌 확장성 및 유연성: 전 세계 195개국, 4,000여 종의 신분증을 자동으로 인식하여 글로벌 서비스에도 적용 가능합니다. 또한, 기업의 서비스나 보안 수준에 따라 인증 강도나 절차를 유연하게 조정할 수 있습니다.
이번 해킹 사건은 비대면 금융 거래 시스템의 신뢰를 위협하는 심각한 문제점을 보여주었습니다. 휴대폰 본인인증의 한계를 넘어, 사람의 실체를 직접 확인하는 아르고스의 ID check는 유사 범죄를 예방하고 고객사의 자산과 브랜드를 안전하게 보호하는 핵심적인 역할을 할 수 있습니다.
