![퀘이사존](https://img2.quasarzone.com/editor/2024/01/23/136b8349668524640576965b9eb09f24.png)
미국 증권거래위원회(SEC)는 이달 초 해커가 SIM 교체를 통해 @SECGov 트위터 계정을 탈취한 사실을 확인했습니다.
월요일 성명에서 SEC는 '승인되지 않은 당사자'가 먼저 금융 규제 기관의 통신사를 표적으로 삼아 계정에 액세스했다고 밝혔습니다. 어떻게 해커가 @SECGov와 연결된 휴대폰 번호를 알게 된 것인지는 알 수 없지만, 공격자는 이후 통신사를 속여 휴대폰 번호를 자신의 디바이스로 이전하도록 유도하여 트위터 계정(현재 X)의 비밀번호 재설정을 완료할 수 있도록 했습니다.
성명은 "전화번호에 대한 접근은 SEC 시스템이 아닌 통신사를 통해 이루어졌다"고 덧붙였습니다. "SEC 직원은 권한이 없는 당사자가 SEC 시스템, 데이터, 디바이스 또는 기타 소셜 미디어 계정에 액세스했다는 어떠한 증거도 확인하지 못했습니다."
하지만 금융 규제 당국은 @SECGov 계정이 계정 도용을 방지할 수 있는 널리 권장되는 보안 안전장치인 2단계 인증을 활성화하지 않았다는 사실을 확인했습니다.
"이전에는 @SECGov X 계정에서 다단계 인증[MFA]이 활성화되어 있었지만, 계정 액세스 문제로 인해 2023년 7월 직원의 요청에 따라 X 지원팀에 의해 비활성화되었습니다."라고 SEC는 말했습니다. "액세스 권한이 다시 설정된 후에도 1월 9일에 계정이 손상된 후 직원이 다시 활성화할 때까지 MFA는 비활성화된 상태로 유지되었습니다. 현재 MFA를 제공하는 모든 SEC 소셜 미디어 계정에서 MFA가 활성화되어 있습니다."
SEC는 트위터가 이 당혹스러운 사건을 SIM 교체 탓으로 돌린 지 몇 주 후에 업데이트를 발표했습니다. 해커는 계정을 탈취하여 @SECGov 프로필을 악용하여 금융 규제 당국이 국내 증권 거래소에 대한 비트코인 ETF를 승인했다는 트윗을 조기에 게시할 수 있었습니다. 이 가짜 트윗은 잠시 시장을 뒤흔들며 비트코인 가격을 급등시켰고, SEC가 트위터 계정이 해킹당했다고 대중에게 경고한 후 비트코인 가격은 급락했습니다.
SEC는 이 사건을 조사하고 있지만, 규제 당국은 "권한이 없는 당사자가 어떻게 통신사를 통해 계정의 SIM을 변경하도록 했는지, 당사자가 어떤 전화 번호가 계정에 연결되어 있는지 어떻게 알았는지"와 같은 다른 세부 사항과 함께 도용의 배후를 밝히기 위해 여전히 노력 중이라고 말했습니다.~중략
※ 더 자세한 정보는 원문을 참조해주세요.
※ 퀘이사존 공식 기사가 아닌 해외 뉴스/기사를 번역한 것으로, 퀘이사존 견해와 주관은 포함되어 있지 않습니다. |