“비트코인 ETF 승인 가짜뉴스, ‘심 스와핑’ 해킹 공격 때문”

美SEC “전화번호 통제권 확보
X계정 비밀번호 바꿔 게시물”

비트코인 이미지. 서울신문 DB

미국 증권거래위원회(SEC)가 X(옛 트위터) 공식 계정에 실린 ‘비트코인 현물 상장지수펀드(ETF) 승인’ 가짜뉴스와 관련해 이른바 ‘심(SIM·가입자 식별 모듈) 스와핑’ 해킹 공격에 따른 것이라고 밝혔다.

SEC는 22일(현지시간) 성명을 통해 “승인받지 않은 당사자가 심 스와핑으로 보이는 공격을 통해 X 계정과 관련된 SEC 휴대전화 통제권을 얻은 것으로 판단했다”고 발표했다. 심 스와핑은 휴대전화 유심칩을 복제하거나 옮겨 설치해 휴대전화 번호를 이용하고 개인정보를 빼돌리는 해킹 수법이다.

SEC는 통신사를 통해 휴대전화 번호에 접근한 것으로 보이며 다른 SEC 시스템·데이터나 소셜미디어(SNS) 계정에 접속했다는 증거는 아직 없다고 설명했다. 또 해킹 6개월 전 SEC 직원이 X 계정 접속에 어려움을 겪자 복수의 방식으로 본인임을 인증하는 다중 인증(MFA) 기능을 해제한 뒤 되돌려 놓지 않은 상태였다고 덧붙였다.

SEC는 “미승인 당사자가 (해킹으로) 전화번호에 대한 통제권을 확보한 뒤 SEC X 계정의 비밀번호를 바꿨다”면서 “해커들이 어떻게 SEC가 이용하는 통신사에 유심칩을 교체하도록 만들었는지 사법당국이 조사를 진행 중”이라고 밝혔다. 지난 9일 SEC의 X 계정에 가상자산(암호화폐) 비트코인의 현물 ETF가 승인됐다는 가짜뉴스가 잠시 오르면서 한때 비트코인 가격이 일부 암호화폐 거래소에서 1개당 4만 8000달러까지 치솟았다. SEC는 계정이 해킹됐다며 즉시 글을 삭제했고, 이튿날 공식직으로 승인 사실을 알렸다. 이후 비트코인은 하락세를 보이며 이날 오후 7~8시 기준 4만 달러 선 아래로 떨어지기도 했다.

송한수 선임기자