1P by neo 8달전 | favorite | 댓글 1개
  • T-Mobile 직원들이 불법적으로 SIM을 스왑하는 대가로 현금을 받는 제안을 받고 있음

    • 나쁜 행위자가 T-Mobile 직원들에게 연락하여 SIM 스왑 당 $300를 제안하고 있음
    • 이 제안은 다양한 지역 번호에서 텔레그램으로 연락하라고 하며, T-Mobile 직원 디렉토리에서 번호를 획득했다고 주장함
    • Reddit의 여러 게시물과 The Mobile Report에 제보한 개인들에 따르면 전국의 T-Mobile 직원들이 영향을 받고 있음
  • 직원들의 개인 정보 유출 경로에 대한 의문

    • 나쁜 행위자가 어떻게 직원 전화번호를 입수했는지가 가장 큰 문제임
    • 영향을 받은 직원 중 일부는 수개월 전부터 회사에서 일하지 않은 전직 직원들도 포함되어 있어, 몇 달 전의 정보일 가능성이 높음
    • 기업 직원이 포함된 것으로 보아 Connectivity Source 유출 사건과는 다른 데이터 출처로 보임
    • T-Mobile은 시스템 침해는 없었으며 불법 행위를 교사하는 메시지를 계속 조사 중이라고 답변함
  • 고객에 대한 영향과 예방책

    • 범죄자들이 여전히 SIM 스와핑을 돈벌이 수단으로 보고 있다는 것은 기업들의 예방 노력이 부족함을 의미함
    • 많은 직원들에게 제안이 간 만큼 일부가 수락할 가능성이 있어 고객 계정과 자금이 위험에 처할 수 있음
    • 고객은 2단계 인증을 SMS 대신 앱 기반으로 하고, T-Mobile 계정에 SIM 보호 기능을 활성화하는 등 예방책을 취할 수 있음
    • 은행이나 암호화폐 지갑에서 SMS만 지원한다면 서비스 전환을 고려해야 함
  • 최근 데이터 유출로 악명 높은 통신사에서 새로운 유출이 아니길 희망함

    • 가장 좋은 시나리오는 9월 유출 사건의 영향을 받은 것이지만, 새로운 유출일 가능성도 있음
    • 새로운 정보가 나오는대로 The Mobile Report에서 계속 업데이트할 예정임

GN⁺의 의견

  • SIM 스와핑은 새로운 문제는 아니지만, 통신사 직원을 대상으로 한 조직적인 시도는 이례적임. 내부자 위협에 대한 통신사의 보안 대책 강화가 필요해 보임
  • 통신 3사 고객 대부분이 2단계 인증으로 SMS를 사용하고 있어 잠재적 피해 규모가 큼. 고객 인식 제고와 함께 기술적 보완책 마련이 시급함
  • T-Mobile은 최근 잦은 고객정보 유출로 신뢰도가 하락한 상태라 이번 사태로 인한 타격이 클 것으로 보임. 철저한 진상 조사와 재발 방지 대책 마련이 필요함
  • 직원 정보 유출 경로에 대해서는 내부자 소행 가능성을 배제할 수 없음. 특히 이직한 전직 직원 정보까지 포함된 것을 고려하면 의심스러운 부분이 있음
  • 단순히 통신사 차원을 넘어 SIM 스와핑을 법적으로 규제하고 처벌 수위를 높일 필요가 있음. 피해 규모에 비해 처벌이 약해 범죄의 동기가 되고 있음
Hacker News 의견
  • T-Mobile이 직원을 해고하기 위해 가짜 SMS를 보내는 것은 비윤리적이고 논란의 여지가 있음
  • 최근 T-Mobile 데이터 유출로 인해 범죄자들이 직원 전화번호를 대량으로 입수하여 SIM 스와핑을 유도하는 새로운 공격 기법이 등장함
  • SIM 스와핑 문제 해결을 위해서는 고객 본인 확인 절차 강화가 필요하나, 미국에는 보편적인 신분증 제도가 없어 어려움
  • 전화번호가 디지털 생활의 신뢰 기반이 되는 근본적 문제가 있음. Passkey 등 OS 레벨 개선이 도움이 될 수 있음
  • SMS OTP는 공격 벡터를 더 취약한 것으로 교체하는 것임에도 여전히 많이 사용되고 있음
  • FCC에서 2024년 7월부터 SIM 스와핑 방지 규칙을 시행 예정이나, 내부자 공격까지 막을 수 있을지는 불확실함
  • MFA에 대한 법적 정의와 표준 마련이 필요함. SMS는 2SA로 분류하고, MFA는 하드웨어 인증 방식으로 제한하는 것이 바람직함
  • 통신사 고객 서비스 담당자의 낮은 급여와 강력한 권한, 취약한 접근 통제 등이 내부자 공격의 원인이 되고 있음
  • SIM 문제 해결 후에도 다른 취약점을 노릴 것이므로 지속적인 보안 강화가 필요함
  • 사용자가 동의한 경우에 한해, 기존 SIM이 오프라인 상태가 되어야만 새 SIM으로 변경 가능하도록 하는 방안을 고려해 볼 수 있음