비트코인 현물 ETF 승인을 앞두고 미국 증권거래위원회(SEC)는 자체적인 목표를 세웠는데, 암호화폐 커뮤니티 에서 격렬한 변동과 폭넓은 논의가 이루어졌다는 것이다.
X 보안팀 조사 결과 실제로 SEC 계정이 해킹된 것으로 확인됐고 , SEC가 이중 인증(2FA)을 활성화하지 않은 점을 지적해 보안 인식이 부족했음을 명백히 드러냈다. 이번 사건은 SEC가 암호화폐 산업을 엄격하게 규제하고 있으며, 자체적인 보안 보호 조치가 미흡하다는 비판을 커뮤니티 에서 불러일으켰다.
감찰실, SEC X 계정 해킹 조사 중
이번 보안 위반은 미국 정부 관련 부서의 관심을 끌었습니다. Fox 기자 Eleanor Terrett이 X에 게시한 글에 따르면, 이 사건은 현재 감찰관실(Office of the Inspector General, OIG)에서 조사 중입니다. 감찰관실(Office of the Inspector General)은 정부 기관에 대한 감독 및 검토를 담당하는 독립 기관으로, 정부 기관의 남용, 사기 또는 부정 행위를 조사하고 정부 운영의 투명성과 효율성을 개선하기 위한 권장 사항을 제공하는 등의 책임을 맡고 있습니다.
Terrett이 자신의 게시물에서 사이버 보안에 대한 SEC의 모순을 지적했다는 점은 언급할 가치가 있습니다.
SEC의 2022년 및 2023년 감독 보고서는 모두 내부 시스템이 규정을 준수하는지 확인하는 것의 중요성을 강조했으며, 지난 11월 감찰관은 SEC의 구현 또는 다단계 인증 구현 계획에 대한 정보를 요청했습니다. 또한 SEC의 2023년 예산 보고서에 따르면 보안 통제 및 절차를 강화하고 조직이 '제로 트러스트' 사이버 보안 전략을 채택하도록 촉진하기 위해 추가 전문가를 고용할 계획입니다.
이러한 계획 배경에서 SEC는 올해 2단계 인증(2FA)을 활성화하지 않았으며, 이는 의심할 여지없이 네트워크 보안 관리 기능에 대한 의문을 제기했습니다.
지난 주말 SEC 성명서, 해킹 인정
SEC는 지난 12일 X 계정 해킹 사건에 대해 성명을 내고 사건의 경위와 최근 추이를 공개했다. 그러나 성명서는 해당 계정에서 다중 인증이 활성화되지 않은 문제에 대해서는 언급하지 않았으며 SEC는 이 사건이 기관, 투자자 및 시장에 미칠 수 있는 영향을 평가하고 있다고만 밝혔습니다.
성명에 따르면 2024년 1월 9일 화요일 오후 4시(동부 표준시) 직후, 승인되지 않은 사람이 해당 계정과 연결된 휴대폰 번호를 제어하여 SEC 공식 X 계정에 액세스했습니다. 승인되지 않은 사람은 두 개의 트윗을 올렸는데, 그 중 하나는 SEC가 비트코인 현물 ETF를 승인했다고 허위로 주장했고 비공식 계정의 게시물 두 개에 '좋아요'를 표시했습니다.
사건을 인지한 SEC 공보실 직원은 오후 4시 26분 게리 겐슬러(Gary Gensler) 회장의 공식 X 계정을 통해 해명 글을 게시하고 승인되지 않은 모든 행위를 삭제했다. 성명서는 오후 4시 40분부터 5시 30분 사이에 SEC 공식 계정에 대한 무단 접근이 종료됐다고 밝혔습니다.
이번 사건은 SIM 카드 탈취 공격(SIM 스와핑)과 관련된 것으로 보입니다. SEC가 Google OTP나 하드웨어 보안 키 등 SMS 기반이 아닌 다단계 인증을 사용하는 경우 계정 해킹을 방지할 수 있습니다. 이번 사건은 특히 아이러니한데, 게리 겐슬러(Gary Gensler)가 지난 10월 투자자들에게 금융 계정을 보호하기 위해 2FA를 사용할 것을 상기시키고 보안 수준이 높은 비밀번호 사용을 권장하는 기사를 발표했기 때문입니다. 그러나 SEC는 자체 X 계정을 해커로부터 효과적으로 보호하지 못했고 커뮤니티 로부터 비난과 조롱을 받았습니다.
