미국 증권거래위원회(이하 SEC)가 심스와핑(SIM Swapping) 공격에 당한 것으로 드러났다. 이로 인해 X 계정과 관련된 심각한 보안 취약점이 노출된 것으로 확인되었다. 이달 초에 발생한 이 사건은 해커가 SEC의 모바일 보안취약점 악용해 비트코인 상장지수펀드(ETF) 승인에 관한 가짜 내용을 발표하는 과정에서 발생한 것으로 드러났다.
심스와핑 공격은 사용자를 식별하는 유심을 복제해 휴대폰을 이용한 본인 인증을 통과하는 방식으로 타인의 금융자산이나 가상 자산을 탈취하는 공격을 말한다.
해당 사건이 발생한 지 이틀 후, SEC는 통신사와 협력해 무단 액세스가 심스와핑 공격의 결과임을 확인했다. 심스와핑 공격은 무선 통신사를 조작해 공격자가 제어하는 디바이스로 타깃의 전화번호를 전송하도록 하는 것이다. 이렇게 하면 공격자는 비밀번호 재설정 링크와 다중 인증(MFA)을 위한 일회용 비밀번호가 포함된 문자를 포함해 수신되는 모든 문자와 통화를 제어할 수 있다.
SEC는 해커들이 기관의 내부 시스템, 데이터, 디바이스 또는 기타 소셜 미디어 계정을 침해하지 않았다고 밝혔다. 대신 이동통신사를 속여 관련 휴대폰 번호를 포팅하는 방식으로 통제권을 확보했다고 설명했다. 공격자들은 이 제어권을 활용해 @SECGov 계정의 비밀번호를 재설정하고 가짜 비트코인 ETF 승인 발표를 퍼트린 것이다.
이 사건의 핵심은 침해된 계정에 다단계 인증(MFA)이 없었다는 점이다. SEC는 로그인에 문제가 발생해 X에 지원을 요청했을 때 해당 계정에서 MFA가 비활성화되어 있었다는 사실을 인정했다. SMS를 통해서라도 MFA가 활성화되어 있었다면 해커가 가로챈 일회용 비밀번호를 사용해 계정에 침입했을 가능성이 있다.
보안 전문가들은 SMS에만 의존하지 말고 인증 앱이나 하드웨어 보안 키를 사용해 MFA를 구성하는 것이 중요하다고 강조한다. SMS 기반 MFA는 추가적인 보안 계층을 제공하지만, SEC 유출 사건에서 볼 수 있듯, 심스와핑 공격은 이 방어 체계를 우회할 수 있다.
X는 지난 한 해 동안 해킹된 계정과 암호화폐 사기를 조장하는 악성 광고에 시달린 바 있다. 사용자들은 이러한 보안 위협의 지속적인 공격에 대해 불안감을 갖고 있다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★