FTX 해커 사건, 풀리지 않은 SIM 카드 도용 통화 미스터리
글: 앤드류 애덤스, 코인데스크
번역: 오설 블록체인
본문은 미국 사법부가 최근 공개한 SIM 카드 해킹 사건 관련 기소장을 소개하며, 피고인 파월(Powell) 일당이 FTX 해킹 사건의 공격자가 아님을 명확히 한다. 또한 이 사건을 통해 통신사 인증 절차의 취약성이 가져오는 비즈니스 리스크와 암호화폐 업계에 가해질 수 있는 규제 압박도 분석한다. 앞서 오설 블록체인은 《예방 불가능한 위협: 왜 다수의 암호화폐 트위터 계정이 낚시 링크를 게시하는가? 어떻게 대비해야 하는가》라는 제목의 글을 통해 SIM 카드 해킹의 공격 원리와 예방 조치를 설명한 바 있다.
최근 미국 사법부는 조용히 한 기소장을 공개했다. 주요 언론 및 암호화폐 미디어들은 이를 급속도로 보도하며, "파산한 암호화폐 거래소 FTX가 보유하고 있던 4억 달러 규모의 암호화폐 도난 사건의 수수께끼가 풀렸다"고 주장했다.
그러나 이 기소장은 그 수수께끼를 해결하는 열쇠가 아니다. 오히려 이 사건은 온쇼어뿐 아니라 오프쇼어 암호화폐 기업들 모두가 점점 커지는 규제적·경제적 리스크에 직면해 있음을 보여준다. 특히 2022년 11월 발생한 FTX 대상의 'SIM 카드 해킹' 사기 사건은 가장 기초적인 '해킹' 수법으로 볼 수 있으며, 이는 신원 도용과 금융 계좌 소유자의 사칭에 의존한다. 이러한 공격은 고객과 계좌 소유자에게 여전히 구식으로 느껴지는 이중 또는 다중 인증(즉 '2FA' 및 'MFA') 보안 절차를 제공하는 기업들을 주요 표적으로 삼는다.
미국 연방 규제 당국은 SIM 카드 해킹에 취약한 보안 시스템의 잠재적 위험성에 대해 점점 더 주목하고 있다. 연방통신위원회(FCC)는 새로운 규정을 마련 중이며, 미국 증권거래위원회(SEC)가 최근 발표한 사이버보안 규정은 기업들이 이 특정 위협에 대응하기 위한 보안 조치를 강화하도록 유도할 가능성이 크다. SEC 자체가 최근 SIM 카드 해킹 피해를 입은 만큼, 해당 분야에 대한 규제 강화 의지를 더욱 굳힐 것으로 보인다.
새로운 기소와 FTX 해킹 사건
2024년 1월 24일, 워싱턴 D.C. 연방 검찰청은 '미국 대 파월 등'이라는 제목의 기소장을 공개했다. 로버트 파월(Robert Powell), 카터 로엔(Carter Rohn), 에밀리 헤르난데스(Emily Hernandez) 세 사람은 협력하여 50명 이상의 피해자로부터 개인 식별 정보(PII)를 탈취한 혐의를 받고 있다.
이들은 탈취한 정보를 이용해 위조 신분증을 만들었으며, 이를 통해 통신사들을 속여 피해자의 휴대폰 번호를 피고인이나 미명시된 '공모자'가 소지한 새 기기에 이전하도록 했다. 이 세 피고인은 탈취한 PII를 판매하기도 했다.
이 범행은 피해자의 전화번호를 범죄자들이 물리적으로 장악한 휴대폰으로 재할당하는 것을 기반으로 하며, 이를 위해서는 사용자 식별 모듈(SIM) 카드에 저장된 피해자의 번호(본질적으로는 신원)를 범죄자의 새 기기로 이전해야 한다. 이를 'SIM 카드 해킹(swap)'이라 부른다.
'미국 대 파월' 사건에서 기술된 SIM 카드 해킹을 통해 피고인들과 미명시된 공모자들은 무선 통신사를 속여 합법적 사용자의 SIM 카드에서 자신들이 혹은 공모자가 소유한 SIM 카드로 번호를 옮겼다. 이후 SIM 카드 해킹을 통해 파월 일당은 다양한 금융기관의 전자 계좌에 접근해 자금을 탈취할 수 있었다.
피고인들에게 SIM 카드 해킹의 주요 이득은 금융 계좌에서 발송되는 인증 메시지를 새로운 사기 기기에서 가로챌 수 있다는 점이다. 일반적으로 정상적인 상황에서는 인증 코드가 SMS 문자 또는 다른 메시지 형태로 합법적 소유자에게 전달되며, 사용자는 해당 코드를 입력함으로써 계좌 접근을 승인하게 된다. 그러나 이 경우, 비밀 코드는 바로 사기꾼에게 전달되었고, 이들은 이를 이용해 계좌 소유자로 사칭하여 자금을 인출했다.
파월 기소장은 FTX를 피해자로 명시하지 않았지만, 기소장 내에서 묘사된 가장 큰 규모의 SIM 카드 해킹 사건은 FTX가 파산을 공식 선언했을 당시 발생한 '해킹' 사건을 의미한다고 볼 수 있다. 사건의 날짜, 시간, 금액이 공개된 해킹 사건과 일치하며, 언론 보도를 통해 내부 관계자로부터 FTX가 기소장에서 언급된 '피해 회사-1'임이 확인되었다. FTX 해킹 당시 공격자에 대해 내부자 소행인지, 정부 기관의 은밀한 작전인지 등 다양한 추측이 난무했다.
파월 기소건을 보도한 많은 기사들은 '수수께끼가 풀렸다'며, 세 피고인이 FTX 해킹을 실행했다고 주장했다. 그러나 실제로 기소장 내용은 정반대의 가능성을 시사한다. 기소장은 세 피고인의 이름을 명확히 기재하며, 이들이 PII를 도난하고 전화번호를 사기성 SIM 카드로 이전하며, FTX 접속 코드를 판매했다는 혐의를 상세히 기술하고 있지만, 실제 FTX 자금을 탈취한 과정에 대해서는 이 세 피고인을 전혀 언급하지 않는다.
대신 기소장은 '공모자가 FTX 계좌에 무단 접근했으며', '공모자가 4억 달러 이상의 가상자산을 FTX의 지갑에서 공모자가 통제하는 지갑으로 이전했다'고 기술한다. 기소장 작성 관례상 피고인 본인이 수행한 행위에는 반드시 이름을 명시한다. 그런데 여기서 최종적이며 가장 중요한 단계를 밟은 것은 미명시된 '공모자'이다. 이 '공모자'가 누구인지에 대한 수수께끼는 여전히 남아 있으며, 새로운 기소나 재판을 통해 추가 사실이 드러나기 전까지는 계속될 것이다.
규제 당국과 기업 리스크
FTX 사건은 검찰과 규제 당국이 SIM 카드 해킹의 단순성과 보편성에 대해 점점 더 인식하고 있음을 보여준다. 파월 기소장을 읽는 것은 매년 수백 건의 신용카드 절도 기소장을 다루는 연방 및 주 검찰의 작업과 크게 다르지 않다. 사기 행위로서 SIM 카드 해킹은 비용이 저렴하고 기술적 요소가 적으며 형식적인 방법이다. 하지만 범죄자 입장에서는 효과적인 수법이다.
SIM 카드 해킹의 성공 가능성은 통신사의 사기 방지 및 신원 확인 프로토콜의 결함과, 금융 서비스 기업을 포함한 다수의 온라인 서비스 제공업체가 기본적으로 사용하는 미흡한 사기 방지 및 인증 절차에서 비롯된다. 2023년 12월, FCC는 무선 서비스 제공업체의 SIM 카드 해킹 취약점을 해결하기 위한 조치를 담은 보고서와 명령을 발표했다. 이 보고서와 명령은 파월 기소장에 기술된 SIM 교체 이전에 안전한 고객 인증 방법을 사용하도록 요구하며, 동시에 고객이 합법적으로 기기를 교체할 때 유지하던 편의성도 어느 정도 보존하려 한다. MFA(Multi-Factor Authentication)보다 취약한 2FA(Two-Factor Authentication), 특히 안전하지 않은 SMS 메시지 채널을 통한 인증의 편의성을 악용하는 SIM 카드 해커들의 행동이 늘어나고 있다는 인식 속에서, 통신사와 이를 활용하는 서비스 제공업체(암호화폐 기업 포함)는 이러한 균형 유지 문제에 계속해서 직면하게 될 것이다.
암호화폐 보안
무선 통신사만이 파월 기소장과 관련된 점증하는 감시 대상이 아니다. 이 사건은 암호화폐 업계에도 중요한 교훈과 경고를 준다.
파월 일당이 실제로 FTX 지갑에 접속해 자금을 인출한 인물은 아니더라도, 그들이 상대적으로 기초적인 SIM 카드 해킹을 통해 FTX 접속을 위한 인증 코드를 제공했다는 점은 주목할 필요가 있다. SEC의 새로운 사이버보안 체계 하에서, 이 사건은 미국 내에서 운영되는 거래소들이 사이버보안 리스크 평가 및 관리 프로세스를 구축해야 할 필요성을 부각시킨다. 특히 FTX 사건에서 나타난 '해킹' 방식에 대응하기 위한 조치가 필수적이다. SEC 자체가 최근 SIM 카드 해킹 공격의 피해를 입은 만큼, 앞으로 거래소를 겨냥한 SIM 카드 해킹 공격에 대해 더욱 강력한 법 집행 활동을 펼칠 것으로 예상된다.
이는 SEC나 기타 규제 당국의 감독을 피하는 오프쇼어 거래소들에게 불리한 상황을 만들 수 있다. SEC는 사이버보안 리스크 관리, 전략, 거버넌스 정보에 대한 정기적인 공개 공시를 요구하며, 외부 감사를 통해 고객과 거래 상대방이 해당 기업이 FTX와 같은 사건의 리스크를 줄이기 위해 어떤 조치를 취했는지 이해할 수 있도록 한다. 오프쇼어 기업들도 유사한 투명한 사이버보안 정보 공개를 선택할 수는 있으나, 이를 위해서는 기업 스스로 투명성을 수용할 의사가 있어야 한다. 그런데 FTX 사례에서 보듯, 일부 기업은 투명성 개념 자체에 저항감을 가질 수 있다. 따라서 암호화폐 기업과 프로젝트들은 규제 당국과 시장으로부터, 기초적인 사기꾼(파월 사건의 피고인처럼)이 수백만 달러를 들고 도망가는 것을 막는 수준을 넘어서는 훨씬 더 높은 수준의 사이버보안 실천을 채택하고, 이를 공개하며, 입증하고, 유지하라는 더 큰 압력을 받게 될 것이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
CoinDesk
