미국 최대 통신사 중 하나인 T모바일(T-Mobile)은 지난 1월 19일 미국증권거래위원회(Securities and Exchange Commission, SEC)에 수 백만명의 데이터 유출 사건을 보고했다. T모바일이 제출한 문서 ‘8-K’에 따르면 해커가 2022년 11월 25일에 T모바일 시스템에 처음 액세스했지만 2023년 1월 5일까지 T모바일은 그들의 활동을 감지하지 못했다. 이로 인해 현재 및 이전 T모바일 고객이 SIM 스와핑을 비롯한 악의적인 활동에 노출된 것으로 드러났다.

SIM 스왑 공격은 범죄자가 자신의 통제하에 있는 SIM 카드로 번호를 전송하도록 이동통신사를 통해 피해자의 휴대폰 번호를 탈취하는 신원 도용의 한 유형이다. 이는 이동통신사의 고객 서비스 담당자를 속이거나 피싱 공격을 통해 피해자의 계정에 액세스하여 수행할 수 있다. 범죄자가 피해자의 전화번호를 활용해 이중 인증 코드를 받고 피해자의 은행 계좌, 암호화폐 거래소에 액세스할 수 있다. 

SEC 공개에 따르면 T모바일은 악의적인 행위자가 API 또는 애플리케이션 프로그래밍 인터페이스에서 허가나 승인 없이 데이터를 획득했음을 확인했다. 회사는 침해로 고객 신용 카드, 주민등록번호 또는 운전 면허증 정보가 노출되지 않았다고 밝혔다. 그러나 이 사건으로 인해 해커는 고객의 이름, 전화번호, 청구 및 이메일 주소, 생년월일에 액세스하게 되었다. 이 사건은 현재 T-Mobile 고객 기반의 상당 부분을 차지하는 3700만 명의 선불 및 후불 고객에게 영향을 미쳤다.

SEC에 제출한 서류는 T모바일 투자자들에게 회사가 "사건과 관련하여 상당한 비용을 부담할 수 있다"고 경고한다. 이는 T모바일이 다른 모든 휴대폰 제공업체와 마찬가지로 FCA(Federal Communications Act)에 따라 고객의 개인 기밀 정보를 보호할 책임이 있기 때문이다. FCA에 따라 통신 사업자는 승인되지 않은 제3자에게 고객의 '독점 네트워크 정보'를 공개하는 것이 금지된다. FCA에 따른 민사 처벌에는 "합리적인 변호사 또는 변호사 비용과 함께 위반의 결과로 입은 손해의 전액"이 포함된다.

최근의 T모바일 데이터 유출 사건은 데이터 보안의 중요성과 데이터 유출의 잠재적 결과를 상기시켜 준다. 기업은 고객의 개인 기밀 정보를 보호하기 위해 강력한 보안 조치를 취해야 하고 고객도 위험을 인식하고 보호 조치를 취하는 것이 중요하다. 세상이 점점 더 디지털화됨에 따라 데이터 보안의 중요성은 계속해서 커질 것이며 고객의 데이터를 보호하지 못하는 회사는 고객의 외면을 받게 될 것이다.

MDF Law 관계자는 “SIM 스와핑 공격을 방지하기 위해 사용자는 이중 인증에 휴대폰을 사용하지 말고 대신 하드웨어 토큰을 사용하는 것이 좋다. 사용자가 휴대전화를 2FA에 사용하는 경우 이동통신사에 연락하여 SIM이 잠길 수 있는지 또는 이식이 방지되는지 문의해야 한다”라며 “고객은 의심스러운 활동이 있는지 계정을 모니터링하는 데 주의를 기울여야 하며 전화번호가 도용된 것으로 의심되는 경우 조치를 취할 준비를 해야 한다”고 조언한다.