마이클 터핀(Michael Terpin)이라는 미국 투자자가 8월 15일(현지시간) 미국 이동통신사 AT&T를 대상으로 2억 2,400만 달러(한화 2,512억 원대) 규모 소송을 제기했다.
이 같은 소송을 건 이유는 AT&T가 해커에게 자신의 전화번호에 대한 접근을 허용한 결과 암호화폐가 도난당한 것으로 생각하기 때문. 그는 미국령 푸에르토리코에 거주하는 기업가로 비트코인 관련 엔젤 투자자 그룹인 비트에인절스, 디지털 통화 관련 펀드인 비트엔젤스 댑 펀드의 공동 설립자이기도 하다.
그는 지난 7개월 사이 2차례 해킹으로 2,400만 달러를 잃었다고 주장하고 있다. LA 지방법원에 낸 69페이지짜리 소장에는 2017년 6월 11일, 올해 1월 7일 발생한 사건 2회에 대해 설명하고 있다. 그는 여기에서 90년대부터 사용하던 AT&T가 자신의 디지털상 개인 정보를 보호할 수 없었다고 주장한다. 이에 따라 AT&T에 2,400만 달러 보상과 2억 달러의 징벌적 손해배상을 요구한 것이다.
소장에서 그는 AT&T가 한 건 호텔이 가짜 ID를 가진 도둑에게 방 열쇠와 금고 열쇠를 건네 안전한 장소에 있는 보석을 정당한 소유자에게서 가져가게 한 것으로 표현하고 있다. 그는 자신을 SIM 스왑(SIM SWap) 사기 피해자라고 밝히고 있다.
SIM 스왑은 티모바일 같은 사업자를 이용해 상대방 전화번호를 해커의 SIM 카드로 옮기는 행위를 말한다. 전화번호를 받으면 해커는 이를 이용해 피해자의 비밀번호를 재설정, 암호화폐 거래소 계정에 침입한다.
이렇게 하면 이중 인증도 우회할 수 있다고 한다. SIM 스왑 자체는 비교적 쉽게 할 수 있으며 암호화폐 계정이 표적이 되는 경우가 많다는 지적이다.
이런 해킹을 할 때에는 고객 서비스 담당자로 속이거나 내부 직원 등이 돈을 받고 빼낼 수도 있다. 실제로 한 보도에 따르면 이동통신사 직원이 돈을 받고 SIM 카드를 활성화하거나 직원 ID와 개인식별번호를 해커에게 넘기는 등 뇌물을 받은 직원이 있었다는 보도도 있다.
마이클 터핀은 지난해 여름 전화가 갑자기 불통이 되면서 자신의 AT&TW 전화번호가 해킹된 걸 알았다고 한다. AT&T 스토어에서 암호 입력 11회 실패 이후 암호가 원격으로 바뀌었다는 점을 알게 됐다는 것. 해커는 그의 전화 접근 권한을 얻은 뒤 전화나 이메일을 포함한 개인 정보를 이용해 전화번호로 인증하는 암호화폐 계정에 침입했다. 또 그의 스카이프 계정으로 자신인 채 행세를 하면서 고객 1명에게 암호화폐를 보내라고 얘기를 했다고 한다.
해커는 결국 그의 계정에서 상당 규모 자금을 빼냈고 이후에나 AT&T는 해커의 접근을 차단했다고 한다. 소장에선 이 사건 이후 지난해 6월 13일 그가 AT&T 담당자를 만나 해킹에 대해 논의하고 AT&T는 그의 계정을 연예인이 사용하는 것과 같은 특별히 보호된 높은 보안 수준으로 옮겨주겠다고 약속했다고 기록하고 있다. 마이클 터핀은 AT&T 측이 비밀번호를 아는 건 그와 그의 아내 뿐인 만큼 보안 대책을 강화해 터핀의 허락 없이 전화번호가 다른 전화로 이전되는 일은 없을 것이라고 밝혔다는 것.
하지만 반년이 지난 올해 1월 7일 터핀은 다시 해킹을 받았고 전화가 불통된다. 소장은 지난해 6월 추가 보안 조치를 취했지만 AT&T 스토어 직원이 해커와 공모, SIM 스왑을 했다고 명시하고 있다. 코네티컷에 위치한 AT&T 스토어 직원이 터핀의 전화번호를 해커 쪽으로 이전해줬다는 것이다. 그는 이 같은 행위가 지난해 6월 11일 해킹 이후 이 같은 사기로부터 보호하기 위해 조치한 고급 보안을 포함한 AT&T의 보증을 침해하는 행위라고 말하고 있다.
전화가 불통되자 그는 곧바로 AT&T에 연락을 취하려 했지만 2,400만 달러 상당 암호화폐를 도난당했고 AT&T 측은 그의 요청을 무시했다고 주장한다. 그 탓에 해커가 터핀의 암호화폐 계정에 대한 정보를 모으고 다른 계정으로 옮길 충분한 시간을 벌어주게 된 꼴이라는 것이다. 자신과 아내가 AT&T에 연락을 계속 취하려 했지만 담당 부서 연결을 요청하면 계속 지연됐다는 주장이다.
이 소장에선 AT&T가 1억 4,000만 명에 달하는 고객을 SIM 카드 사기로부터 보호하기 위해 아무 것도 하지 않았다고 말하고 고객이 SIM 스왑 사기의 표적이 되고 있지만 자사의 보안 대책이 충분하지 않다는 점을 인식하고 있는 만큼 이런 사기로부터 직접적 책임이 있다고 강조한다. AT&T가 이 같은 사기로부터 고객을 보호하기 위해 사실상 아무 것도 하지 않았다는 얘기다. 터핀이 제출한 소장은 이곳에서 확인할 수 있다.