22일(현지시간) 코인데스크에 따르면, 미국 증권거래위원회(SEC)는 해커가 ‘SIM 스왑’ 공격을 통해 기관의 휴대폰 중 하나를 탈취하여 X 계정과 연결된 휴대폰의 제어권을 장악한 사실을 확인했다고 발표했다.
이 같은 수법으로 해커는 SEC가 실제로 현물 ETF를 승인하기 하루 전인 지난 1월 9일 비트코인 현물 상장지수펀드(ETF)를 승인했다는 허위 X게시물을 올릴 수 있었다.
SEC는 해당 전화번호에 대한 액세스는 SEC 시스템이 아닌 통신사를 통해 이루어졌으며, SEC 시스템, 데이터, 디바이스 또는 기타 소셜 미디어 계정에 대한 무단 액세스의 증거는 발견되지 않았다고 밝혔다.
SEC는 계정 액세스 문제로 인해 지난 2023년 7월 해당 계정에 대한 2중 인증을 비활성화 하게됐는데 보안이 허술한 틈을 타 @SECGov 공식계정으로 X에 해당 게시물이 올라오게 된 것이 해당 사건의 진행 루트로 확인됐다.
현재 법 집행 기관은 권한이 없는 당사자가 어떻게 통신사로 하여금 SEC 공식 계정의 SIM을 변경할 수 있었는지, 그리고 어떤 전화번호가 해당 계정에 연결돼 있었는 지를 어떻게 알아낸 것인 지에 대한 조사에 착수한 상태다.
SEC는 연방수사국, 국토안보부, 상품선물거래위원회, 법무부 등 다수의 법 집행 및 감독 기관들과 함께 이 사건에 대한 조사를 지속중이다.
그동안 심 스왑 공격은 암호화폐 업계에서 수년 동안 비교적 흔히 발생해 왔던 사건에 해당하며, 공격자는 일반적으로 피해자의 전화번호를 노려 자산을 탈취해낸다.
한편, SEC의 공식 X 계정 2단계 인증은 해커의 공격이 있기 전 약 6개월 동안 비활성화되어 있던 상태였지만, 현재는 모든 SEC 소셜 미디어 계정에 대한 MFA가 활성화됐다.