미국 증권거래위원회(SEC)는 비트코인 현물 ETF의 정식 승인 전 허위 공지를 올려 논란이 됐던 공식 트위터(X) 계정 해킹 사건이 'SIM 스왑' 공격에 따른 것이라고 밝혔다.
SEC는 22일(현지시간) 공식 성명을 통해 "미승인 당사자가 명백한 'SIM 스왑' 공격을 통해 계정과 연결된 SEC 휴대폰 번호에 대한 제어권을 획득한 것"이라고 밝혔다.
당국은 SIM 스왑에 대해 "미승인 당사자가 타인의 전화번호를 다른 기기로 옮겨 해당 번호의 음성·SMS 통신을 수신할 수 있도록 하는 기술"이라고 설명했다.
SEC는 "전화번호에 대한 접근은 SEC 시스템이 아니라 통신사를 통해 이뤄졌다"면서 "권한이 없는 특정인이 SEC 시스템이나 데이터, 디바이스, 기타 소셜 미디어 계정에 접근했다는 근거는 확인된 바 없다"고 강조했다.
당국은 미승인 당사자가 전화번호에 대한 제어권을 확보한 이후 트위터(X) 계정의 비밀번호를 재설정했다고 밝혔다.
SEC는 관련해 내부 감찰관실, FBI, 상품선물거래위원회(CFTC), 법무부 등 다른 법 집행 기관과 계속 협력하고 있다고 말했다.
증권당국은 "현재 법 집행 기관은 권한이 없는 당사자가 어떻게 통신사를 통해 계정의 SIM을 변경했는지, 당사자가 계정과 연결된 전화번호를 어떻게 파악했는지 조사하고 있다"고 덧붙였다.
한편 "과거 X 계정 @SECGov에서 다중인증을 하도록 설정했었지만 2023년 7월 계정 접근권한 문제로 인해 SEC 직원 요청에 따라 X 지원팀이 해당 기능을 비활성화했다"고 밝혔다.
이후 접근권한을 재설정했지만 공식 계정이 해킹된 1월 9일까지 다중인증 기능은 비활성화 상태로 유지됐다고 설명했다.
SEC는 "현재는 모든 SEC의 소셜 미디어 계정이 다중인증 기능을 활성화한 상태"라고 강조했다.
지난 9일, 우리나라 시간으로 10일 6시경 SEC 공식 트위터 계정이 비트코인 현물 ETF를 승인했다는 공지를 게재했다. 하지만 약 20분 뒤 게리 겐슬러 SEC 위원장은 공식 계정이 해킹을 당했다면서 비트코인 현물 ETF 승인은 사실이 아니라고 해명했다.
당시 X 보안팀은 "특정인이 계정과 연결된 연락처에 대한 통제권을 확보해 접근한 것"이라고 밝히면서 계정의 다중인중 기능이 비활성화 상태였음을 언급했고, SEC의 허술한 보안 관리에 대해 정치권과 업계가 비난의 목소리를 높이며 관련 조사를 촉구한 바 있다.