Security

장벽은 남아 있지만, 보안은 비용이 낮아질 때 무너진다

Donghwi Shin, 문가용 기자

Published: 08:00, 23 Feb 2026 (Updated: 06:59, 24 Feb 2026)

Photo by Andrey Metelev / Unsplash

💡

Editor Pick
- 멀티 심 확장기 통해 알아보는 보안의 방향성
- 새로운 해킹 기법이 아닌 비용을 낮추는 도구의 활용
- 장벽을 세우고 기다리는 방식의 보안은 기술의 발전 속에 무너질 것

본 지에서는 알리익스프레스 등 글로벌 온라인 마켓플레이스에서 판매되고 있는 한 주변기기가 눈에 들어왔다. 이른바 멀티 심카드 확장기(SIM Card Expander)다. 겉보기에는 단순한 확장 장치에 불과하지만, 이 장비는 휴대전화 한 대에 최대 20개의 SIM카드를 연결할 수 있다. 가격 또한 수십 달러 수준으로 알려져 있어 접근성도 높다.

최근 X(구 트위터)의 ‘China Pulse’ 계정에서 해당 장비를 활용해 하나의 모바일 기기에서 20개의 WhatsApp 앱을 설치/운영하는 영상을 공유했됐다. 언제나 기술 자체는 중립적이다. 그러나 보안은 사용 방식과 확장성 등의 부분에서 문제가 발생한다. 한 대가 스무 대의 역할을 하게 되는 순간, 위험 또한 스무 배로 커질 수 있다.

본 지에서는 해당 장비의 존재 유무 또는 활용성에 대해 초점을 맞추기 보다는 이를 기반으로 보안을 대하는 자세와 방향성을 다시 한번 생각해보는 계기로 삼으려 한다.

합법적 수요도 존재한다

멀티 심 장비를 곧바로 범죄 도구로 단정하는 것은 성급하다. 현재 상용 스마트폰은 통상 1~2개의 물리적 SIM을 지원하고, eSIM을 포함하더라도 동시에 활성화할 수 있는 번호는 대개 2~3개 수준에 머문다. 이는 일반 사용자에게는 충분한 구조지만, 특정 산업 환경에서는 물리적 한계로 작용하기도 한다.

예컨대 소규모 콜센터나 고객 응대 조직은 지역별·용도별로 여러 개의 번호를 상시 운영해야 하는 경우가 있다. 해외 시장을 대상으로 서비스를 테스트하는 마케팅 조직은 현지 번호를 직접 확보해 메시지 도달률이나 인증 성공률을 점검해야 한다. 통신 품질을 분석하는 개발자나 QA 엔지니어 역시 서로 다른 통신망과 지역 환경에서 인증 흐름, 메시지 지연, 통화 안정성을 비교 검증해야 하며, 다국가 서비스를 운영하는 기업의 경우 국가별 번호를 장기간 유지하는 것이 불가피하다.

결국 장비 그 자체는 중립적이다. 다수 번호를 효율적으로 관리할 수 있도록 물리적 한계를 확장해 주는 도구일 뿐이다. 그러나 바로 그 ‘확장성’이 어떤 방향으로 사용되느냐에 따라, 동일한 기술은 합법적 업무 도구가 되기도 하고, 범죄 인프라의 일부가 되기도 한다. 문제의 핵심은 장비의 존재가 아니라, 확장된 구조를 관리하고 통제할 수 있는 체계가 마련되어 있는가에 있다.

심스와핑, ‘운영’이 쉬워진다

주목해야하는 지점은 심스와핑(SIM Swapping)과의 결합 가능성이다. 오해하지 않아야하는 부분은 멀티 심 장비가 심스와핑 공격 자체를 더 쉽게 만들어주는 것은 아리라는 점이다. 번호 탈취는 여전히 개인정보 확보, 통신사 속이기, 내부 절차 악용 등 별도의 과정이 필요하다. 변화는 심스와핑이 성공한 이후에 발생한다.

심스와핑 공격의 주요 시나리오는은 피해자의 전화번호를 탈취하고 그 번호로 수신되는 OTP(일회용 인증 코드)를 이용해 계정을 장악하는 것이다. 기존에는 공격자가 여러 피해자를 동시에 관리하려면 다수의 단말기와 번호, 물리적 관리 체계가 필요했다. 그러나 멀티 심 확장기가 있으면 이야기가 달라진다.

한 단말기에서 다수의 탈취 번호를 동시에 유지할 수 있다.
여러 피해자의 OTP 수신 흐름을 병렬로 모니터링할 수 있다.
자동화 스크립트와 연동해 계정 탈취 과정을 운영화할 수 있다.

즉, 운영의 효율성이 급격히 개선된다. 이 장비는 단순 확장기가 아닌, 심스와핑 성공 사례를 관리하는 일종의 소형 운영 센터(Management Hub) 역할을 수행할 수 있다. 공격자는 단일 장소, 단일 단말기에서 여러 계정을 동시에 유지·감시·활용할 수 있기 때문이다. 이런 관리의 효율성 증대는 이후 범죄의 ‘규모화(Scaling)’를 가능하게 할 수도 있다.

보이스피싱과 스팸, 분산형 중계 인프라

보이스피싱과 스팸 발송 조직 역시 이 장비를 충분히 활용할 수 있다. 이들의 운영 방식은 기술적으로 복잡하지 않다. 대량의 문자나 전화를 발신하고, 신고가 누적되어 특정 번호가 차단되면 곧바로 다른 번호로 전환하는 구조다. 문제는 이 전환 과정이 얼마나 빠르고 매끄럽게 이뤄지느냐에 따라 범죄의 지속 가능성이 결정된다는 점이다.

기존에는 여러 개의 번호를 병렬 운영하려면 다수의 단말기나 물리적 장비가 필요했다. 그러나 멀티 심 확장기를 사용하면 하나의 스마트폰에 최대 20개의 번호를 동시에 연결해 둘 수 있다. 특정 번호가 차단되더라도 단말기를 교체하거나 물리적으로 이동할 필요 없이, 동일한 환경에서 즉시 다른 회선으로 발신을 이어갈 수 있다. 이 과정이 자동 발신 시스템이나 메시지 발송 솔루션과 연동될 경우, 번호 전환은 사실상 ‘운영 절차’의 일부로 흡수된다.

또한 여러 지역 번호를 동시에 장착해 두면 수신자에게 서로 다른 지역에서 발신되는 것처럼 보이게 할 수 있다. 이는 신뢰도를 가장하거나 차단 패턴을 분산시키는 효과를 낳는다. 동일한 물리적 장치에서 운영되지만, 외부에서는 다수의 독립된 발신 주체가 활동하는 것처럼 보이게 되는 것이다.

결과적으로 단일 스마트폰은 단순한 통신 기기가 아니라 다중 회선을 통제하는 소형 게이트웨이로 기능하게 된다. 수사나 추적 측면에서 이는 부담을 키운다. 특정 번호를 차단하거나 정지시키는 조치는 더 이상 운영을 멈추게 하는 수단이 되지 않는다. 같은 장치, 같은 장소에서 즉시 다른 번호로 활동을 재개할 수 있기 때문이다. 이는 차단과 재개가 반복되는 ‘소모전’ 구조를 만들고, 대응 비용을 범죄자보다 방어자 쪽에 더 많이 발생시키는 결과로 이어질 수 있다.

가짜 계정 ‘생산 라인’의 현실화

전화번호 기반 인증은 지금도 유효하다. 플랫폼은 여전히 계정 하나를 만들기 위해 유효한 전화번호 하나를 요구한다. 멀티 심 확장기가 등장했다고 해서 이 구조 자체가 사라지는 것은 아니다. 겉으로 보면 인증 체계는 그대로 유지되고 있는 것처럼 보인다. 그러나 보안의 균형은 구조의 존재 여부가 아니라, 그 구조가 실제로 얼마나 마찰을 만들어내느냐에 의해 유지된다. 바로 이 지점에서 상황은 달라진다.

CAPTCHA가 그랬다. 처음 설계 의도는 “사람만 통과할 수 있도록” 만드는 것이었다. 하지만 자동화 기술과 저비용 인력 풀이 결합되면서, CAPTCHA는 여전히 존재하지만 실질적인 장벽으로 작동하지 않게 되었다. 규칙은 남아 있었지만, 그 규칙을 통과하는 비용이 급격히 낮아졌고, 그 결과 대량 봇 계정 생성이 현실화됐다. 대규모 DDoS 공격의 산업화 역시 같은 흐름을 보였다. 공격 기법은 오래전부터 존재했지만, 클라우드 인프라와 DDoS-as-a-Service가 등장하면서 공격 실행 비용이 급감했다. 기술적 장벽은 형식적으로 존재했으나, 운영 비용이 낮아지는 순간 사실상 장벽의 의미를 잃었다.

멀티 심 확장기가 만드는 변화도 이와 유사하다. “번호 하나당 계정 하나”라는 인증 구조는 그대로 남아 있다. 그러나 여러 번호를 하나의 단말기에서 동시에 유지하고 관리할 수 있게 되면서 물리적 마찰이 줄어든다. 과거에는 다수의 스마트폰과 관리 인력이 필요했던 구조가 소수의 장비로 압축될 수 있고, 계정 생성과 인증 코드 수신, 유지 관리가 한곳에서 병렬적으로 이뤄진다. 이 변화는 인증 정책을 무너뜨리지는 않지만, 정책을 대량으로 충족시키는 데 드는 비용을 낮춘다.

보안은 종종 새로운 취약점이 발견될 때가 아니라, 비용 구조가 바뀌는 순간 무너진다. 멀티 심 확장기는 새로운 기술적 결함을 만든 것이 아니라, 기존 신뢰 모델이 의존하던 물리적 부담을 완화시키는 방향으로 작용한다는 점에서 의미가 있다. 물리적 제약이 줄어들수록 운영은 단순해지고, 단순해질수록 규모화는 쉬워진다. 그 결과 가짜 계정은 예외적 행위가 아니라 반복 가능한 운영 모델로 전환될 가능성이 높아진다.

특히 여론 조작 네트워크나 이른바 ‘Engagement Farm’과 같은 구조에서는 이러한 비용 절감 효과가 직접적인 경쟁력이 된다. 모든 계정이 정상적인 전화번호를 보유하고 있는 한, 플랫폼은 개별 계정 단위에서는 명확한 위반 신호를 찾기 어렵다. 결국 방어는 ‘규칙의 존재’가 아니라 ‘운영 비용의 높이’에 의해 유지되는데, 그 비용 곡선이 하락하는 순간 신뢰 모델은 서서히 압박을 받게 된다. 그리고 보안의 균형은 언제나 그 장벽의 높이에 의해 결정된다.

대응은 ‘번호’가 아니라 ‘행동’ 중심으로

앞서 살펴본 것처럼 멀티 심 확장기의 본질적 위험은 새로운 취약점을 만들어낸다는 데 있지 않다. 오히려 기존 인증 구조가 전제로 삼아온 물리적 마찰과 운영 비용을 낮춘다는 점에 있다. 그렇다면 대응 역시 장비 자체를 문제 삼는 방식으로는 충분하지 않다. 이미 글로벌 전자상거래 플랫폼을 통해 누구나 손쉽게 구매할 수 있는 상황에서, 특정 하드웨어의 유통을 차단하는 접근은 실효성이 낮다.

보다 현실적인 대응은 ‘번호’라는 단위가 아니라 ‘행동’과 ‘패턴’에 초점을 맞추는 것이다. 전화번호 하나하나는 여전히 정상적인 가입 절차를 거친 유효 번호일 수 있다. 문제는 그 번호들이 어떤 방식으로, 얼마나 짧은 시간 안에, 어떤 패턴으로 사용되느냐다. 예컨대 단기간에 과도한 인증 요청이 발생하거나, 여러 번호가 유사한 환경에서 반복적으로 계정을 생성·운영하는 흐름이 포착된다면, 이는 개별 번호의 정상성 여부와는 다른 차원의 신호가 된다.

또한 다수 번호가 특정 신원 또는 유사한 발급 패턴과 연결되어 있다면, 단일 계정 단위의 분석을 넘어 번호 발급·사용의 집합적 행태를 살펴볼 필요가 있다. 이는 기존의 ‘계정 중심 보안’에서 ‘운영 모델 중심 보안’으로 관점을 확장하는 것을 의미한다. 물리적 장벽이 낮아진 환경에서는, 물리적 수량이 아니라 행위의 구조가 더 중요한 식별 지표가 되기 때문이다.

동시에 SMS 기반 인증에 대한 의존도를 점진적으로 줄이는 전략도 병행되어야 한다. 멀티 심 확장기가 보여주듯, 전화번호는 더 이상 강한 물리적 마찰을 보장하는 수단이 아니다. 앱 기반 인증이나 패스키, FIDO 계열의 인증 체계로 전환을 가속화하는 것은 단순한 기술 업그레이드가 아니라, 비용 구조 변화에 대응하는 전략적 선택에 가깝다.

이 과정에서 통신사와 플랫폼 간 협력도 중요해진다. 번호 발급 단계의 정보와 플랫폼 내 이상 행위 데이터가 단절되어 있다면, 각각의 주체는 부분적인 정보만을 바탕으로 대응할 수밖에 없다. 반대로 양측이 데이터를 연계해 본다면, 특정 번호 집합이 보이는 비정상적 운영 패턴을 보다 빠르게 감지할 수 있다. 이는 ‘번호의 합법성’과 ‘행동의 위험성’을 분리해 판단할 수 있게 해준다.

결국 멀티 심 확장기는 공격의 기술적 수준을 높였다기보다, 기존 범죄 모델의 운영 효율성과 규모화 가능성을 끌어올린 도구에 가깝다. 보안의 위기는 종종 전혀 새로운 기술에서 비롯되기보다, 이미 존재하던 구조가 더 빠르고 저렴하게 활용될 수 있게 되는 순간 시작된다. 인증 구조는 그대로 남아 있지만, 그 구조가 만들어내던 마찰이 줄어드는 순간 균형은 흔들린다.

이번 사례가 던지는 질문도 명확하다. 기술은 계속 확장되고, 운영 비용은 계속 낮아진다. 그렇다면 우리는 여전히 ‘규칙의 존재’에 안심하고 있는 것은 아닌가. 보안은 장벽의 선언이 아니라, 그 장벽이 실제로 얼마나 높은가에 의해 유지된다. 그리고 지금 필요한 것은 장비를 금지하는 대응이 아니라, 낮아진 장벽을 전제로 한 새로운 관리 모델이다.🆃🆃🅔