이원영 기자
미국증권거래위원회 SEC가 2024년 1월 22일 위원회 엑스 계정이 누군가에서 탈취된 건 계정과 관련된 단말에 대한 SIM 스왑 공격이 이뤄졌기 때문이라고 발표했다.
지난 1월 10일 SEC 엑스 계정이 비트코인 현물 ETF를 승인했다고 가짜 발표하는 문제가 발생하며 비트코인 가격이 급등했다. 아이러니지만 직후 SEC는 비트코인 ETF를 공식 승인했다.
FBI 등 관련 기관과 함께 원인 조사를 하던 SEC는 1월 22일 사건 2일 뒤 전기통신사업자와 협의한 결과 부정한 인물이 분명한 SIM 스왑 공격으로 계정과 관련한 SEC 휴대전화 번호 관리권을 취득했다고 SEC는 판단하고 있다고 발표했다.
SIM 스왑 공격이란 피싱 등으로 입수한 피해자 개인 정보를 이용해 통신사업자를 속여 피해자 SIM 카드를 공격자 SIM 카드로 바꾸는 수법이다. 피해자 SIM 카드를 입수하면 공격자는 전화번호를 이용한 통화나 문자메시지에 의한 2단계 인증을 돌파해 피해자 SNS 계정이나 인터넷은행 계좌 등을 탈취하게 된다.
SEC에 따르면 이번 SIM 스왑 공격은 SEC 시스템을 경유한 게 아니라 통신사업자를 속여 이뤄졌다고 한다. 따라서 SEC 내부 시스템과 데이터, 다른 SNS 계정 등에 무단 액세스된 흔적은 지금까지 발견되지 않았다.
SEC는 공격자가 통신사업자를 이용한 SIM 스왑 공격을 어떻게 수행했는지 조사하기 위해 법집행기관에 계속 협력하고 있다고 밝혔다. SEC는 또 계정에 로그인할 때 문제가 발생했을 때 다중요소인증을 비활성화하도록 엑스 지원 센터에 요청했기 때문에 문제가 된 엑스 계정에서 다중요소인증이 활성화되지 않았다고 밝혔다. 현재 SEC가 보유한 모든 SNS 계정으로 다요소인증이 유효하게 되어 있다고 한다.
그럼에도 불구하고 SIM 스왑 공격에 성공한 시점에서 해커는 전화번호로 보낸 1회용 암호를 얻을 수 있게 됐기 때문에 만일 다중요소인증이 유효하더라도 엑스 계정을 침해하는 일이 가능했다고 지적하고 있다.
비슷한 피해를 입지 않도록 하는 조치로 인증 앱을 사용하도록 설정하면 공격자가 암호를 바꾼 뒤에도 공격자가 계정에 로그인할 수 없게 된다며 다중요소인증은 SMS가 아닌 인증 앱과 하드웨어 보안키만 사용하는 걸 권장하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이석원 기자
