미 증권거래위원회(SEC)의 홍보 담당자는 지난 10일 발생한 SEC의 소셜미디어 X 계정 해킹으로 인해 ‘비트코인(BTC) 현물 ETF 승인’ 가짜 게시물이 퍼진 사건에 대한 새로운 내용을 밝혔다.
지난해 여름부터 SEC의 계정(@SECGov)의 다중 인증(Multi-Factor Authentication, MFA)이 무효화되었다고 한다.
SEC의 계정 탈취 사건 세부사항 공개
한국시간으로 지난 10일 SEC의 소셜미디어 X 계정이 해킹되어, 비트코인 현물 ETF가 승인되었다는 허위 정보가 퍼졌다.
이번 해킹 사건은 SIM 스왑 기법으로 이루어졌으며, SEC가 MFA를 활성화하지 않았음이 확인되었다.
SEC는 계정 탈취가 시스템 오류가 아닌, 연결된 전화번호의 조작에 의한 것임을 설명했다.
홍보 담당자는 MFA가 SEC 계정에서 이전에 활성화되었으나, 계정 액세스 문제로 인해 SEC 직원의 요청에 따라 2023년 7월에 사용 중지되었다고 전했다.
이후 미국 시간 1월 9일에 계정이 해킹당했고, SEC 직원은 다시 MFA를 활성화했지만 무효화된 상태였다.
미 증권거래위원회(SEC)의 홍보 담당자는 SEC가 모든 소셜 미디어 계정에서 다중 인증(Multi-Factor Authentication, MFA)을 활성화하고 있음을 밝혔다.
SIM 스왑 공격 방식
“SIM 스왑” 공격은 특정 전화번호를 다른 장치로 무단 전송하는 방식이다.
SEC 홍보 담당자는 SEC 계정과 연결된 전화번호에 대한 액세스가 SEC 시스템의 침입이 아니라 통신 사업자를 통해 이루어졌음을 확인했다.
현재 FBI를 비롯한 법 집행 기관이 허위 게시물을 올린 사람이 통신 사업자에게 어떻게 SIM 변경을 요청했는지, SEC 계정과 연관된 전화번호를 어떻게 알았는지에 대해 조사하고 있다.
