美SEC "'비트코인 현물 ETF 가짜 게시물'은 SIM 스와프 공격"

[서울=뉴시스]신정원 기자 = 비트코인 현물 상장지수펀드(ETF) 승인 관련 허위 게시물로 시장의 혼란을 초래했던 미 증권거래위원회(SEC)의 엑스(X.옛 트위터) 계정 탈취 사건은 심(SIM) 스와프 공격이었다는 조사 결과가 나왔다.

CNBC 등에 따르면 SEC는 22일(현지시간) 성명을 내고 "사건 발생 이틀 뒤 SEC는 이동통신사와 협의해 허가받지 않은 당사자가 명백한 'SIM 스와프' 공격으로 해당 계정과 연결된 SEC 휴대폰 번호의 통제권을 획득한 것으로 판단했다"고 밝혔다.

SIM 스와프 공격은 타인의 개인정보를 탈취해 새로운 SIM 카드에 옮겨 심은 뒤 실제 소유주인 것처럼 가장해 인증 절차를 거친 뒤 개인정보나 금융정보 등을 훔치는 범행을 말한다.

이번 사태에서 SEC는 '다중 인증'을 활성화하지 않아 범행이 용이했던 것으로 보인다.

SEC는 "계정 엑세스 문제 때문에 직원의 요청으로 다중 인증이 지난해 7월부터 비활성화된 상태였다"고 설명했다.

용의자는 아직 특정되지 않았다.

미 연방수사국(FBI)과 법무부는 SEC와 협력해 수사를 계속하고 있다. 승인받지 않은 당사자가 어떻게 이동통신사로 하여금 계정의 SIM을 변경했는지, 계정과 연결된 전화번호를 어떻게 알았는지 등을 파악하기 위해 노력 중이다.

지난 9일 SEC X 공식 계정 '@SECGov'엔 SEC가 첫 비트코인 현물 ETF를 승인했다는 가짜 정보가 올라왔다.

이 게시물로 당시 4만5000달러를 조금 웃돌던 비트코인 1개 당 가격은 4만8000달러선까지 치솟았다. 그러다 SEC가 해당 게시물은 가짜라고 밝힌 뒤 가격은 다시 4만6000달러대로 급락했다.

당시 SEC는 "계정이 손상됐다"면서 "X의 시스템 결함이 아닌 SEC 계정에 연결된 전화번호를 제3자가 입수한 것으로 보인다'고 했었다.
◎공감언론 뉴시스 jwshin@newsis.com