SIM 스와핑 방어 실전 가이드 — 통신사별 설정법
SKT·KT·LG U+ 유심보호서비스, 번호이동 잠금, SMS→TOTP 전환까지. SIM 스와핑을 막는 실전 설정을 통신사별로 정리합니다.
SKT 해킹 뉴스 보고 내 유심도 위험한 건지 불안해졌다면 — 막연히 뉴스로 끝낼 게 아니라 지금 당장 설정 하나씩 잠가두는 게 맞다.
SIM 스와핑이 뭔지, SKT 사태에서 뭐가 어떻게 터졌는지는 이전 글에서 다뤘다. 이 글은 후속편이다. “그래서 어떻게 막나”에만 집중한다.
방어는 세 겹이다. 통신사 레벨에서 유심과 번호를 잠그고, 인증 방식을 SMS에서 TOTP로 전환하고, 마지막으로 기기 자체에 PIN을 걸어둔다. 하나만 해도 낫지만, 세 겹을 다 깔아야 SIM 스와핑의 두 가지 경로 — 유심 복제와 사회공학 — 를 모두 커버한다.
1층: 통신사 유심보호서비스 — 복제 유심 차단
유심보호서비스는 내 유심과 내 기기를 1:1로 묶는다. 복제 유심이 다른 기기에 꽂혀도 통신망 접속 자체가 차단된다. 세 통신사 모두 무료다.
SKT
T world 앱 또는 T world 웹사이트에서 가입한다. 경로: T world 로그인 → 상품 → 부가서비스 → “유심보호서비스” 검색 → 가입. 2025년 5월 3일부터 14일 사이에 전 고객 자동 가입이 적용됐지만, 로밍 이력이 있으면 누락됐을 수 있다(로밍 고객은 14일부터 순차 적용). 반드시 확인하라.
KT
KT 유심보호서비스 페이지에서 가입하거나, My KT 앱에서 부가서비스 탭을 통해 신청한다. KT는 2025년 유심 무료 교체도 병행하고 있으니, 교체 가능하면 교체가 가장 확실하다.
LG U+
LG U+ 유심보호서비스 페이지에서 가입하거나, U+one 앱 → 부가서비스에서 신청한다. 법인 고객은 114 고객센터를 통해서만 가입 가능하다.
세 통신사 공통으로, 유심보호서비스는 해외 로밍 중에도 유지된다. 예전에는 로밍과 충돌해서 해제해야 했지만, 2025년 하반기부터 모두 개선됐다.
2층: 명의도용방지 + 번호이동 잠금 — 사회공학 차단
유심보호서비스가 “복제 유심”을 막는다면, 이 층은 “내 명의로 폰을 개통하거나 번호를 빼가는 것”을 막는다. SIM 스와핑의 또 다른 경로 — 공격자가 통신사에 전화해서 “폰 잃어버렸다, 새 유심 발급해달라”고 속이는 사회공학 — 를 차단하는 방어선이다.
명의도용방지 가입제한 (M-Safer)
한국정보통신진흥협회(KAIT)가 운영하는 M-Safer에 접속한다. 공동인증서 또는 간편인증(PASS, 카카오 등)으로 로그인한 뒤, “가입제한 서비스”를 신청한다. 이동전화 신규 개통, 번호이동, 명의이전, 기기변경을 전부 차단할 수 있다. 무료다.
가입제한을 걸어두면, 누군가 내 명의로 유심을 재발급받거나 번호를 다른 통신사로 옮기려 해도 차단된다. 해제는 본인이 직접 M-Safer에서 하거나, 통신사 대리점을 방문해야만 가능하다.
번호도용문자차단
내 전화번호가 스미싱 발신번호로 악용되는 걸 막는 서비스다. SIM 스와핑 자체를 막지는 않지만, 공격자가 내 번호를 사칭해서 주변 사람에게 피싱 문자를 보내는 2차 피해를 차단한다.
- SKT: T world → 부가서비스 → “번호도용문자차단” 검색 → 가입
- KT: KT 번호도용문자 차단서비스
- LG U+: LG U+ 번호도용 문자차단
세 통신사 모두 무료다.
3층: SMS 인증을 TOTP로 전환 — 인증 체계 자체를 바꾸기
유심을 아무리 잠가도, SMS 인증이 유일한 2차 인증 수단이면 구조적 약점이 남는다. 유심 복제가 아니더라도, 통신사 시스템이 뚫리거나 SS7 프로토콜 취약점이 악용되면 SMS는 가로채질 수 있다. 근본적인 방어는 SMS 의존을 끊는 거다.
TOTP가 뭔가
TOTP(Time-based One-Time Password)는 시간 기반 일회용 비밀번호다. Google Authenticator, Ente Auth, Authy 같은 앱이 30초마다 6자리 코드를 생성한다. 이 코드는 내 기기 안에서만 만들어지기 때문에, 전화번호가 탈취돼도 공격자는 코드를 얻을 수 없다.
서비스별 전환 방법
구글 계정 — 가장 먼저 바꿔야 한다. 구글 계정이 뚫리면 Gmail, 드라이브, 연동된 모든 서비스가 같이 뚫린다. 구글 2단계 인증 설정에서 “인증 앱” 옵션을 선택한다. QR 코드를 TOTP 앱으로 스캔하면 끝이다.
네이버 — 네이버 2단계 인증 설정에서 OTP 인증을 활성화한다. 네이버는 자체 앱 인증도 지원하지만, 범용 TOTP 앱으로 전환하는 게 관리가 편하다.
카카오 — 카카오톡 → 설정 → 카카오계정 → 2단계 인증. 카카오톡 자체가 인증 수단이 되는 구조라, 카카오톡이 깔린 기기가 곧 인증 기기다. 별도 TOTP 앱은 미지원이지만, 카카오 자체 인증이 SMS보다는 안전하다.
금융 서비스 — 한국 은행 대부분은 아직 SMS 인증을 강제한다. 하지만 가상자산 거래소(업비트, 빗썸 등)는 Google OTP를 지원한다. 거래소에 자산이 있다면 반드시 전환하라 — SIM 스와핑으로 가상자산이 탈취된 사례가 실제로 있다.
TOTP 앱 선택
- Google Authenticator — 가장 널리 쓰인다. 단, 클라우드 백업을 켜두지 않으면 기기를 잃었을 때 복구가 안 된다.
- Ente Auth — 오픈소스, 암호화된 클라우드 백업 기본 지원. 기기 분실 걱정이 줄어든다.
- 하드웨어 보안키(YubiKey 등) — TOTP보다 한 단계 위. 피싱까지 막는다. 다만 물리적 키를 들고 다녀야 하는 불편이 있다.
4층: 기기에서 USIM PIN 설정 — 마지막 물리 방어선
유심을 기기에서 빼내더라도, PIN이 걸려 있으면 다른 기기에서 사용할 수 없다. PIN을 3회 틀리면 PUK(8자리 해제 코드)을 요구하고, PUK도 10회 틀리면 유심이 영구 잠긴다.
안드로이드 (삼성 갤럭시 기준)
설정 → 보안 및 개인정보 보호 → 기타 보안 설정 → SIM 카드 잠금 설정 → “SIM 잠금 사용” 활성화. 초기 PIN은 통신사에 따라 0000 또는 1234다(SKT·KT는 대부분 0000, LG U+는 유심 종류에 따라 다를 수 있다). 활성화한 뒤 반드시 본인만 아는 번호로 변경하라.
아이폰
설정 → 셀룰러 → SIM PIN → PIN 활성화. 초기 PIN 입력 후 변경. 안드로이드와 동일한 초기값을 사용한다.
PIN을 설정하면 기기를 재시작할 때마다 PIN 입력이 필요하다. 번거롭지만, 유심 물리 탈취를 막는 유일한 방어선이다.
해외는 어떻게 하고 있나
한국만 SIM 스와핑에 시달리는 게 아니다. 미국과 영국의 방어 체계를 보면, 한국이 아직 빠진 부분이 보인다.
미국: T-Mobile SIM Protection
T-Mobile은 2024년에 SIM Protection 기능을 출시했고, 2025년 6월에는 기존 SIM Block을 폐지하고 SIM Protection으로 통합했다. T-Life 앱에서 회선별로 SIM 잠금을 켤 수 있고, 해제하려면 대리점에서 사진이 부착된 신분증을 제시해야 한다. 전화나 온라인으로는 해제 불가다.
미국: AT&T Wireless Account Lock
AT&T는 2025년 7월 1일부터 Wireless Account Lock을 전 고객에게 제공했다. 이 잠금이 걸리면 AT&T 직원조차 SIM 변경이나 번호이동을 처리할 수 없다. 본인이 MyAT&T 앱에서 직접 잠금을 해제해야만 변경이 가능하다.
FCC 규정 (2023년 채택, 2024년 시행)
미국 FCC는 2023년 11월에 규칙을 채택하고, 2024년 7월부터 모든 통신사에 SIM 변경·번호이동 시 사전 인증 강화, 고객에게 계정 잠금 기능 제공, SIM 변경이나 번호이동 요청 시 즉시 고객 통보를 의무화했다. 한국은 아직 이 수준의 규제가 없다.
왜 중요한가
2025년 3월, T-Mobile은 SIM 스와핑으로 고객의 비트코인 1,500개와 비트코인캐시 60,000개(당시 합산 약 3,800만 달러 상당)가 탈취된 2020년 사건에서 중재 판정으로 3,300만 달러를 배상했다. 공격자는 당시 17세 청소년이었고, T-Mobile 직원의 계정 인증 절차가 허술했던 게 원인이었다. 통신사의 보안이 뚫리면 개인이 아무리 조심해도 한계가 있다는 걸 보여준 사건이다.
위험도 — 내 상황은 어디에 해당하나?
🟢 유심보호서비스 + M-Safer 가입제한 + TOTP 전환 완료
SIM 스와핑의 두 경로(유심 복제 + 사회공학)를 모두 차단했고, 인증 체계도 SMS에서 분리됐다. 일반 사용자 수준에서 할 수 있는 방어는 다 한 거다.
🟡 유심보호서비스만 가입, 나머지 미설정
복제 유심은 막히지만, 통신사를 속여 번호를 탈취하는 경로는 열려 있다. M-Safer 가입제한과 SMS→TOTP 전환을 추가하라.
🔴 아무것도 안 한 상태 + 금융 서비스가 SMS 인증에 의존
SIM 스와핑에 가장 취약한 상태다. 특히 가상자산 거래소에 자산이 있다면 즉시 조치하라. 이 글의 1층부터 3층까지 순서대로 설정하면 30분이면 끝난다.
체크리스트 — 30분 안에 끝내기
| 순서 | 할 일 | 소요 시간 | 경로 |
|---|---|---|---|
| 1 | 유심보호서비스 가입 확인 | 3분 | 통신사 앱 → 부가서비스 |
| 2 | M-Safer 가입제한 설정 | 5분 | msafer.or.kr → 가입제한 |
| 3 | 번호도용문자차단 가입 | 3분 | 통신사 앱 → 부가서비스 |
| 4 | 구글 계정 TOTP 전환 | 5분 | 구글 계정 → 2단계 인증 → 인증 앱 |
| 5 | 네이버·카카오 2FA 확인 | 5분 | 각 서비스 보안 설정 |
| 6 | 거래소 Google OTP 전환 | 5분 | 거래소 보안 설정 |
| 7 | USIM PIN 설정 | 3분 | 기기 설정 → 보안 → SIM 잠금 |
7단계, 총 30분이다. 한 번만 하면 된다.
정리
SIM 스와핑은 두 가지 경로로 들어온다. 유심 정보를 복제하거나, 통신사를 속여 번호를 빼가거나. 한쪽만 막으면 다른 쪽이 뚫린다.
유심보호서비스는 복제를 막고, M-Safer 가입제한은 사회공학을 막고, TOTP 전환은 SMS 인증이라는 구조적 약점 자체를 제거한다. 이 세 겹이 다 깔려야 방어가 완성된다.
30분이면 된다. 그 30분이 내 번호, 내 계정, 내 돈을 지킨다.
자주 묻는 질문
- 유심보호서비스에 가입하면 SIM 스와핑을 완전히 막을 수 있나요?
- 유심보호서비스는 복제 유심이 다른 기기에서 네트워크에 접속하는 것을 차단합니다. 서버 해킹으로 인한 유심 복제 공격에는 효과적이지만, 통신사 직원을 속여 번호를 이전하는 사회공학 기반 SIM 스와핑까지 막지는 못합니다. 유심보호서비스와 명의도용방지 가입제한을 함께 설정해야 방어 범위가 넓어집니다.
- SMS 인증을 TOTP 앱으로 바꾸면 뭐가 달라지나요?
- SMS 인증은 전화번호에 묶여 있어서, 유심이 복제되거나 번호가 탈취되면 같이 뚫립니다. TOTP 앱(Google Authenticator, Ente Auth 등)은 인증 코드가 내 기기 안에서만 생성되기 때문에, 전화번호와 무관하게 작동합니다. 유심이 복제돼도 TOTP 코드는 탈취할 수 없습니다.
- eSIM이 물리 유심보다 안전한가요?
- eSIM은 물리적으로 빼서 복제하는 게 불가능하고, 프로필 다운로드 시 통신사 서버 인증을 거칩니다. 다만 통신사 시스템이 해킹되면 eSIM도 원격 재발급 공격에 노출될 수 있습니다. 물리 유심보다 공격 난이도는 높지만 만능은 아닙니다.
- 해외에서도 SIM 스와핑 방어 설정이 되나요?
- SKT·KT·LG U+ 모두 해외 로밍 중에도 유심보호서비스를 유지할 수 있도록 업데이트했습니다. 다만 명의도용방지 가입제한이나 번호이동 잠금은 국내 통신사 시스템 기반이라 해외에서도 그대로 적용됩니다. 해외 체류 전에 설정을 완료해두는 게 핵심입니다.