CoinDesk: FTX 해커 사건 미해결 SIM 카드 도난 동전 미스터리

作者 | Andrew Adams，Coindesk

编译 | 吴说区块链

本文介绍了美国司法部近期公布的一起关于 SIM 卡劫持案件的起诉书，并认为案件被告 Powell 等人不是 FTX 黑客事件的攻击者。同时文章还介绍了有关 SIM 卡劫持的商业风险和对加密行业可能带来的监管压力。

최근 미국 법무부는 SIM 카드 해킹 사건에 대한 기소장을 발표하였고, 일부 주류 및 암호화폐 미디어는 이를 보도하며 4억 달러 규모의 암호화폐 도난 사건의 "수수께끼를 풀었다"고 주장했습니다. 이 암호화폐는 이전에 파산한 암호화폐 거래소 FTX가 보유하고 있었습니다.

그러나 이 기소장은 수수께끼를 푸는 열쇠가 아닙니다. 이는 온shore 및 offshore 암호화폐 회사들이 점점 더 많은 규제와 경제적 우려에 직면하고 있다는 사실을 드러냅니다. 특히, 2022년 11월에 발생한 FTX에 대한 "SIM 카드 해킹" 사기는 가장 기본적인 "해커" 수법으로 볼 수 있으며, 이는 신원 도용과 금융 계좌 소유자 사칭에 의존하여 고객과 계좌 소유자에게 점점 더 구식이 되어가는 이중 또는 다중 인증(즉, "2FA" 및 "MFA") 개인 정보 보호를 제공하는 회사들을 주로 공격합니다.

미국의 연방 규제 기관은 SIM 카드 해킹 공격에 의존하는 개인 정보 보호 프로그램 시스템의 잠재적 위험을 점점 더 중요하게 여기고 있습니다. 연방 통신 위원회는 새로운 규칙을 제정하고 있으며, 미국 증권 거래 위원회(SEC)가 최근 발표한 사이버 보안 규정은 기업들이 이러한 특정 위협에 대한 개인 정보 보호 조치를 강화하도록 강요할 가능성이 높습니다. 특히 SEC가 최근 SIM 카드 해킹 사건을 경험한 후, 이 분야의 규제를 강화하려는 결심이 더욱 확고해졌을 것입니다.

새로운 기소와 FTX 해커

2024년 1월 24일, 콜롬비아 특별구의 미국 검찰청은 "미국 대 Powell 외"라는 제목의 기소장을 공개했습니다. 로버트 파웰, 카터 론, 에밀리 에르난데스가 50명 이상의 피해자의 개인 식별 정보(PII)를 협력하여 도용했다고 합니다.

이 세 사람은 이후 이 도난당한 정보를 사용하여 가짜 신분증을 만들었으며, 그 목적은 통신 제공업체를 속여 신원 도용 피해자의 휴대폰 계정을 피고인 또는 이름이 밝혀지지 않은 "공모자"가 소유한 새로운 장치로 이전하는 것이었습니다. 이 세 명의 피고인은 도난당한 PII를 판매했습니다.

이 계획은 피해자의 전화번호를 범죄자가 제어하는 물리적 전화로 재배정하는 데 의존하며, 이는 피해자의 번호(본질적으로 신원)를 사용자 신원 모듈(또는 "SIM")로 이전하거나 이식해야 합니다. "카드는 실제로 범죄자의 새로운 장치에 보관됩니다. 이를 "SIM 카드 해킹" 계획이라고 합니다.

미국 대 Powell 사건에서 설명된 SIM 카드 해킹 계획을 통해 피고인과 이름이 밝혀지지 않은 공모자는 무선 통신 제공업체를 속여 합법적인 사용자의 SIM 카드에서 전화번호를 피고인 또는 이름이 밝혀지지 않은 공모자가 제어하는 SIM 카드로 재배정했습니다. SIM 카드 해킹은 이후 파웰과 다른 사람들이 다양한 금융 기관의 피해자 전자 계좌에 접근하여 이들 계좌에서 자금을 도난할 수 있도록 허용했습니다.

SIM 카드 해킹의 주요 이점은 새로운 사기 장치에서 금융 계좌로부터 오는 메시지를 가로챌 수 있다는 것입니다. 이러한 메시지는 계좌에 접근하는 사람이 합법적인 계좌 소유자인지 확인하기 위한 것입니다. 일반적으로 사기가 개입되지 않는 경우, 이러한 인증은 합법적인 사용자에게 SMS 문자 메시지나 기타 메시지를 전송하게 되며, 사용자는 메시지에 포함된 코드를 제공하여 계좌 접근 시도를 인증합니다. 그러나 이 경우, 비밀 코드는 사기꾼에게 직접 전송되었고, 그들은 이 코드를 사용하여 계좌 소유자인 척하며 자금을 인출했습니다.

비록 파웰의 기소장이 FTX를 피해자로 명시하지 않았지만, 기소장에 설명된 최대 SIM 카드 해킹 사기의 혐의는 분명히 FTX가 공개적으로 파산을 선언할 때 발생한 "해커" 사건을 지칭하고 있습니다. 날짜, 시간 및 금액은 공개된 해킹 공격과 일치하며, 언론 보도에는 FTX가 파웰이 언급한 "피해 회사-1"이라는 확인을 제공한 내부자의 조사 결과가 포함되어 있습니다. FTX 해킹 사건이 발생했을 때, 범죄자에 대한 많은 추측이 있었습니다: 내부자가 범죄를 저질렀다, 정부 규제 기관이 비밀리에 작동했다?

많은 파웰 기소장 보도 기사 제목은 수수께끼가 풀렸다고 주장합니다: 세 명의 피고인이 FTX 해킹 공격을 실행했습니다. 그러나 실제로 기소장의 내용은 반대의 상황을 암시합니다. 기소장은 세 명의 피고인의 이름을 정확히 나열하고 그들이 개인 식별 정보(PII)를 도난당하고 전화번호를 사기 수단으로 얻은 SIM 카드로 이전하며 도난당한 FTX 접근 코드를 판매한 행위를 자세히 설명했지만, FTX 자금을 실제로 도난당한 과정에 대해서는 이 세 명의 피고인을 언급하지 않았습니다.

반대로, 기소장은 "공모자가 FTX 계좌에 무단으로 접근했다"와 "공모자가 4억 달러 이상의 가상 화폐를 FTX의 가상 화폐 지갑에서 공모자가 제어하는 가상 화폐 지갑으로 이전했다"고 언급합니다. 기소장 초안의 관례는 피고인이 수행한 행위에서 피고인의 이름을 언급하는 것입니다. 여기서는 이름이 밝혀지지 않은 "공모자"가 최종적이고 가장 중요한 단계를 수행했습니다. 이 "공모자"가 누구인지에 대한 수수께끼는 여전히 존재하며, 새로운 기소가 나타나거나 재판이 더 많은 사실을 드러낼 때까지 계속될 수 있습니다.

규제 기관과 상업적 위험

FTX 사건은 검찰과 규제 기관이 SIM 카드 해킹 계획의 단순성과 보편성에 대한 인식을 높이고 있음을 강조합니다. 파웰 기소장을 읽는 것은 연방 및 주 검찰이 매년 추적하는 수백 건의 신용 카드 도난 기소장 중 하나를 읽는 것과 다르지 않습니다. 사기 행위 측면에서 SIM 카드 해킹은 비용이 낮고 기술적 요구가 적으며 형식적입니다. 그러나 범죄자라면 이 방법은 효과적입니다.

SIM 카드 해킹의 효과는 주로 통신 반사기 및 인증 프로토콜의 취약성과 많은 온라인 서비스 제공업체(금융 서비스 회사 포함)가 기본적으로 사용하는 상대적으로 약한 반사기 및 인증 프로그램의 결과입니다. 최근 2023년 12월, 연방 통신 위원회는 무선 서비스 제공업체의 SIM 카드 해킹 취약점을 해결하기 위한 조치를 취하는 보고서와 명령을 발표했습니다. 보고서와 명령은 무선 제공업체가 파웰 기소장에 설명된 SIM 교체를 수행하기 전에 안전한 고객 인증 방법을 사용하도록 요구하며, 합법적으로 장치를 교체할 때 고객이 누리는 상대적인 편리함을 유지하려고 합니다. 기본적인 다중 요소 인증(MFA) 및 상대적으로 안전하지 않은 이중 요소 인증(2FA)을 통해 SIM 카드 해킹 행위자가 증가하는 편리함을 이용하는 것에 직면하여, 이러한 균형 행위는 통신 회사와 이를 의존하는 서비스 제공업체(암호화 회사 포함)에 도전 과제를 계속해서 안겨줄 것입니다.

암호화 보안

무선 서비스 제공업체는 파웰 기소장 혐의와 관련하여 증가하는 검토에 직면한 유일한 집단이 아닙니다. 이 사건은 암호화 산업에도 교훈과 경고를 제공합니다.

비록 파웰 사건의 피고인이 실제로 FTX 지갑에 접근하고 자금을 소진한 사람이 아니더라도, 그들은 상대적으로 기본적인 SIM 카드 해킹 계획을 통해 얻은 인증 코드를 제공했다고 합니다. SEC의 새로운 사이버 보안 규제의 맥락에서 이 사건은 미국에서 운영되는 거래소가 사이버 보안 위험을 평가하고 관리하는 프로세스를 개발해야 할 필요성을 강조합니다. FTX 사건에서 발생한 "해커" 행위를 포함하여 말입니다. SEC가 최근 SIM 카드 해킹 공격의 피해자가 된 만큼, 우리는 그 집행 부서가 거래소에 대한 SIM 카드 해킹 공격에 더욱 주목할 것이라고 예상할 수 있습니다.

이는 SEC 또는 기타 규제 기관의 감독을 피하려는 offshore 거래소에 불리한 상황을 초래할 수 있습니다. SEC의 정기적인 사이버 보안 위험 관리, 전략 및 거버넌스 정보 공개 요구 사항과 외부 감사는 고객과 거래 상대방이 이러한 회사가 FTX 사건과 유사한 위험을 완화하기 위해 취한 조치를 이해할 수 있도록 보장합니다. offshore 회사는 유사한 투명한 사이버 보안 공개 방법을 채택할 수 있지만, 이는 이러한 회사가 투명성을 기꺼이 수용해야 하며, 이러한 회사는 투명성 개념에 대해 다소 저항감을 가질 수 있습니다. FTX가 보여준 바와 같이 말입니다. 암호화 회사와 프로젝트는 규제 기관과 시장으로부터 더 큰 압력을 받을 것으로 예상할 수 있으며, 이는 그들이 단순히 기본적인 사기꾼(파웰 사건에서 설명된 피고인과 같은)이 수백만 달러를 가지고 도망치는 것을 막는 수준 이상의 사이버 보안 관행을 채택, 공개, 전시 및 유지하도록 요구할 것입니다.