폴란드 SIM-swap 갱 검거 사건 분석: 통신사 침해로 암호화폐를 털다

  • 폴란드当局가 통신사 협력업체 침해 뒤 SIM-swap으로 이메일 계정을 탈취해 수백만 달러 상당 암호화폐를 빼돌린 4명을 체포했다.
  • 공격 경로는 통신 파트너 신뢰 사슬 침해, 이메일 사전 정찰, SIM-swap 실행, 2단계 인증 우회 순서로 추정된다.
  • 유로폴 등 국제 공조 수사가 본격화되면서 암호화폐 거래소와 이동통신사 간 KYC 공유 체계 보강이 화두로 떠올랐다.

단순 SIM-swap이 아니라 통신사 공급망을 겨냥한 조직적 범죄가 실제로 암호화폐 자산을 대규모로 잠식하고 있다는 점이 핵심 교훈이다.

2026년 6월, 폴란드 법 집행当局는 SIM-swapping 공격으로 수백만 달러 상당의 암호화폐를 탈취한 조직적 범죄 그룹의 4명을 체포했다고 Bleeping Computer가 보도했다. 이번 사건은 통신사 협력업체(통신 파트너)를 침해한 뒤 피해자의 이메일 계정을 먼저 탈취하고, 이를 기반으로 SIM-swap을 실행해 2단계 인증(two-factor authentication, 이하 2FA)을 우회한 전형적인 공급망 공격(supply chain attack)의 사례로 평가된다.

사건 개요: 폴란드 SIM-swap 갱 단속

폴란드 중앙수사국(CBS) 및 경찰은 유로폴(Europol)의 협조 아래 수사 끝에 4명의 피의자를 검거했다. 보도에 따르면 이 그룹은 통신 파트너 내부 시스템을 침해해 정상적인 SIM 재발급 절차를 악용했으며, 탈취한 SIM 카드로 피해자의 이메일과 암호화폐 거래소 인증을 장악한 것으로 조사되고 있다.

체포 경위와 수사 주체

수사는 유럽 내 여러 피해 신고가 누적되면서 국제 공조로 확대되었으며, 유로폴의 유럽 사이버 범죄 센터(EC3)가 분석과 정보 공유를 지원한 것으로 전해진다. 폴란드 중앙수사국(CBS) 및 경찰이 주도한 현장 검거는 통신 파트너 로그 분석과 온체인 추적 결과를 토대로 이루어진 것으로 분석된다.

4명 피의자 구성과 역할 추정

공개된 정보에 따르면 피의자 4명은 통신사 내부 정보 유출, SIM-swap 실행, 자금 세탁, 코디네이터 등 역할을 분담한 조직적 구조로 추정된다. 다만 개인별 정확한 역할은 재판 전 단계에서 공개되지 않아 추정 영역으로 분류된다.

공격 기법 분석: 통신사 침해와 이메일 탈취의 결합

이번 사건의 공격 흐름은 크게 세 단계로 나뉜다. 첫째 통신사 협력업체 침해, 둘째 피해자 이메일 탈취, 셋째 SIM-swap을 통한 2FA 우회 단계다. 각 단계는 단순한 사회공학적 시도보다 공급망 신뢰를 노린 정교한 침투로 구성되었다.

통신 파트너 침해 경로

공격자는 통신사 본사가 아닌 SIM 등록 및 고객 인증을 처리하는 협력업체의 관리자 계정 또는 VPN 접근권한을 탈취한 것으로 추정된다. 통신 파트너는 작은 MSP(Managed Service Provider)인 경우가 많아 보안 통제 수준이 상대적으로 낮아 주요 진입점이 된다.

SIM-swap 실행 단계

통신사 내부 권한을 확보한 공격자는 피해자 신원 확인 절차를 거쳐 정상적으로 신규 SIM을 발급받았다. 이후 공격자는 자신이 보유한 SIM에 피해자의 전화번호를 활성화하고, 정상 사용자의 SIM은 비활성화해 모든 SMS 인증을 가로챘다. 이로써 암호화폐 거래소의 SMS 기반 2FA가 무력화된다.

이메일 계정 탈취의 사전 정찰 목적

SIM-swap에 앞서 이메일 계정을 먼저 탈취한 것은 사전 정찰 및 권한 탈취용이다. 거래소의 비밀번호 재설정 링크를 이메일로 받아 암호화 자산 지갑으로 진입하거나, 다른 금융 서비스의 인증을 우회하는 다단계 도약(lateral movement)의 발판으로 사용한 것으로 분석된다.

암호화폐 자금 흐름 추적

탈취된 암호화폐는 일반적으로 mixer 또는 다단계 전송을 통해 세탁되는데, 이번 사례에서도 피해 자금이 여러 지갑으로 분산된 흔적이 포착된 것으로 알려졌다.

탈취 규모와 자금 세탁 경로

보도는 피해 총액을 수백만 달러(millions) 규모로 표현했지만, 정확한 금액은 검거 이후 압수물과 피해자 신고를 종합해 확정될 예정이다. 자금의 상당 부분이 DEX(탈중앙화 거래소)와 토널링 서비스를 거쳐 이동한 것으로 추정된다.

온체인 분석 활용 가능성

유로폴과 사립 블록체인 분석사들이 공동으로 트랜잭션 그래프를 작성한 것으로 보이며, 범죄 자금 흐름은 향후 국제 자산 환수 절차에서 핵심 증거로 활용될 가능성이 있다. 온체인 데이터는 익명성이 강조되지만 주소 클러스터링과 KYC 정보 결합으로 실소유자 추적이 가능하다는 점이 이번 수사의 단서로 작용했다.

공격 단계 주요 행위 악용된 취약점
1. 통신 파트너 침해 협력업체 관리자 권한 탈취 공급망 신뢰 사슬, 약한 접근 통제
2. 이메일 사전 정찰 계정 탈취 및 정보 수집 약한 비밀번호, 재사용, 피싱
3. SIM-swap 실행 정상 절차 악용 SIM 재발급 KYC 검증 미흡, 권한 통제 부재
4. 2FA 우회 SMS 인증 가로채기 SMS 기반 2FA의 본질적 취약성
5. 자산 탈취 및 세탁 지갑 이체 및 mixer 사용 거래소 모니터링 사각지대

영향과 시사점

이번 사건은 통신사-협력업체-거래소로 이어지는 다층 신뢰 사슬의 어느 한 곳이라도 무너지면 대규모 자산 유출로 이어진다는 사실을 다시 한번 확인시켰다. 단순 보안 점검을 넘어 공급망 전반에 대한 지속적 모니터링과 권한 통제가 요구된다.

통신사 보안 책임 강화 필요성

통신사는 SIM-swap 시 본인 확인 절차 강화, 거래 알림 제공, 협력업체에 대한 제3자 보안 인증 의무화 등을 검토해야 한다. 또한 고액 자산 고객군에 대해서는 SIM 변경 시 일시적 지연 락(cooling-off lock) 도입을 도입하는 것도 대안으로 거론된다.

암호화폐 사용자 자가 보호 수칙

  • 거래소 2FA는 SMS보다 TOTP 또는 하드웨어 보안키(FIDO2/WebAuthn) 기반을 사용한다.
  • 이메일 계정에는 별도의 강력한 비밀번호와 하드웨어 보안키를 적용하고, 거래소와 동일한 인증 정보를 재사용하지 않는다.
  • SIM-swap 보험 서비스 또는 통신사 SIM 변경 알림 기능을 활성화하고, 출처 불명의 비밀번호 재설정 알림을 즉시 신고한다.
  • 대량 보유 자산은 거래소에서 콜드월렛으로 분산 보관해 거래소 해킹과 SIM-swap의 동시 노출을 회피한다.

국제 공조 수사 동향

유로폴은 SIM-swap 관련 국제 작전을 매년 확대해 왔으며, 이번 폴란드 사례도 유럽 다국가 피해가 결합된 형태로 진행된 것으로 보인다. 향후 각국 경찰은 통신사, 거래소, 분석사 사이의 실시간 데이터 공유 프로토콜을 강화할 것으로 전망된다.

핵심 정리

  • 이번 폴란드 검거는 통신 파트너 침해에서 출발한 SIM-swap 기반 암호화폐 탈취의 대표 사례로, 공급망 보안의 중요성을 실증했다.
  • 이메일 사전 탈취와 SIM-swap의 결합은 2FA 우회와 다단계 도약의 핵심 전술이며, 통신사 내부 권한 통제와 KYC 검증 보강이 핵심 방어선이다.
  • 암호화폐 사용자는 SMS 2FA를 회피하고 하드웨어 보안키와 콜드월렛 분산 보관으로 자산 노출 면적을 최소화해야 한다.
  • 유로폴 중심의 국제 공조와 온체인 분석의 결합은 SIM-swap 조직범죄에 대한 새로운 억제력으로 자리 잡고 있다.
SIM-swapping, crypto theft, Poland, telecom breach, email takeover, organized cybercrime, law enforcement, cryptocurrency fraud, mobile security, supply chain attack, KYC bypass, two-factor authentication, on-chain analysis, Europol, incident response

댓글 남기기