미국 증권거래위원회(SEC)가 엑스(X·옛 트위터) 공식 계정에 ‘비트코인 현물 상장지수펀드(ETF) 승인’ 가짜뉴스가 게재된 것은 이른바 ‘심(SIM·가입자 식별 모듈) 스와핑’ 해킹 공격을 받았기 때문으로 밝혀졌다.
22일(현지시간) 배런스, CNBC 방송, 로이터통신 등 외신에 따르면 SEC 대변인은 이날 성명을 통해 “승인받지 않은 당사자가 심 스와핑으로 보이는 공격을 통해 X 계정과 관련된 SEC 휴대전화 통제권을 얻은 것으로 판단했다”고 전했다.
심 스와핑은 유심칩으로 불리는 휴대전화 심 카드를 복제하거나 옮겨 설치해 피해자의 휴대전화 번호를 이용하고 개인정보를 빼돌리는 해킹 수법이다.
SEC는 “범인들은 통신사를 통해 휴대전화 번호에 접근했다”면서 “아직 범인들이 SEC 시스템·데이터·기기나 다른 소셜미디어(SNS) 계정에 접근했다는 증거는 없다”고 알렸다.
또 “조사 결과 해킹 6개월 전 SEC 직원은 엑스 계정 접속에 어려움을 겪자 복수의 방식으로 본인임을 인증하는 다중 인증(MFA) 기능을 해제한 뒤 이를 되돌려놓지 않은 상태였다”고 설명했다.
이어 “미승인 당사자가 (해킹으로) 전화번호에 대한 통제권을 확보한 뒤 SEC 엑스 계정의 비밀번호를 바꿨다”면서 “해커들이 어떻게 SEC가 이용하는 통신회사에 심 카드를 교체하도록 만들었는지는 사법당국의 조사가 진행 중”이라고 말했다.
앞서 지난 9일 SEC의 엑스 공식 계정에 가상화폐 비트코인의 현물 ETF가 승인됐다는 가짜뉴스가 올라왔다.
SEC는 가짜뉴스가 올라온 지 얼마 지나지 않아 “계정이 해킹됐다”며 승인 사실을 부인하고 이를 삭제했다.
하지만 비트코인 가격은 요동쳤다. 이 과정에서 4만5000달러 선에서 움직이던 비트코인 가격은 한때 4만8000달러에 근접했다가 4만6000달러 아래로 내려가는 등 극심한 변동성을 보였다.
이후 SEC는 가짜뉴스 소동 하루 뒤인 이날 11개 비트코인 현물 ETF의 거래소 상장과 거래를 승인했다.
이번 사건과 관련해 미국 의회는 SEC의 해킹 피해에 대해 강력히 규탄하고 구체적인 설명을 요구했다.
SEC는 연방수사국(FBI) 등 관계기관들과 합동으로 해킹 사건에 대한 조사를 이어가고 있다.