CNBC에 따르면 SEC 대변인은 “무단 접근자가 SEC 직원의 핸드폰 번호를 탈취해 ‘SIM 스왑’ 공격을 감행했다”며 “엑스 계정과 연결된 휴대폰 번호를 통제했다”고 밝혔다.
SIM 스왑은 휴대폰의 가입자 식별장치인 심(SIM)카드 속에 특정인의 서비스 정보를 입력하여 휴대폰 사용자를 위장, 본인 인증을 통과하는 공격이다.
지난 1월 9일 무단으로 접근한 자가 SEC의 엑스(@SECGov) 계정을 통제하고, SEC가 최초로 현물 비트코인 거래소 상장펀드(ETF)를 승인했다는 거짓 게시물을 올렸다. 이로 인해 비트코인 가격은 당시 4만 8000달러까지 치솟았다. 그러나 SEC가 아직 비트코인 ETF를 승인하지 않았다고 밝힌 후 가격은 4만 6000달러 아래로 떨어졌다.
해커는 계정의 비밀번호를 재설정했다. SEC가 이중 인증을 활성화하지 않았기 때문에, SIM 스왑과 이후의 비밀번호 변경으로 계정을 완전히 통제했다.
SEC는 “이중 인증(MFA)이 2023년 7월 계정 접근 문제로 인해 엑스 지원팀의 요청으로 비활성화되었다”고 밝혔다. SEC는 “접근이 재개된 후 1월 9일 계정이 침해될 때까지 이중인증이 비활성화된 상태로 유지되었다. 현재는 모든 SEC 소셜 미디어 계정에 이중인증이 활성화되어 있다”
SEC는 계정에 대한 이중 인증을 다시 켤 수 있는 능력이 있었으며, 이를 위해 X에 의존하지 않았다.
엑스의 소유주이자 CTO인 일론 머스크는 사건 직후 트위터 안전팀이 발표한 “이번 침해가 엑스 시스템의 침해로 인한 것이 아니었다”는 게시물을 리트윗했다.
SEC는 무단 접근자가 SEC 시스템, 데이터, 장치 또는 다른 소셜 미디어 계정에 접근한 증거가 없다고 밝혔다. 대신, “휴대폰 번호의 접근은 통신사를 통해 이루어졌으며, 법 집행기관은 해당 개인이 통신사에 계정의 SIM을 변경하도록 만든 방법과 해당 번호가 계정과 연결되어 있다는 것을 어떻게 알았는지를 조사 중이다”라고 말했다.
SEC는 SEC의 감사관실, 연방수사국(FBI), 국토안보부의 사이버보안 및 기반시설보안국, 상품선물거래위원회, 법무부, SEC 자체 집행부 등 여러 법 집행 및 연방 감독 기관과 협력을 계속하고 있다고 밝혔다.
같이 보면 좋은 기사
