원저자: Andrew Adams, Coindesk
원본 편집: Wu Shuo 블록체인
이 기사에서는 SIM 카드 탈취 사건과 관련하여 미국 법무부가 최근 발표한 기소 내용을 소개하며, 사건의 피고인 파월 등이 FTX 해킹 사건의 공격자가 아니라고 믿습니다. 동시에 이 기사에서는 SIM 카드 하이재킹으로 인한 비즈니스 위험과 암호화 업계에 미칠 수 있는 규제 압력도 소개합니다. Wu는 이전에 SIM 카드 하이재킹에 관한 관련 기사를 게시한 적이 있다고 말했습니다.예방 불가능: 암호화된 트위터 계정이 도난당하고 피싱 링크가 게시되는 이유는 무엇입니까? 어떻게 예방할 것인가공격원칙과 예방조치를 소개합니다.
최근 미국 법무부는 조용히 기소장을 공개했고, 일부 주류 및 암호화폐 언론은 이전에 붕괴된 암호화폐 거래소인 FTX에서 도난당한 4억 달러 규모의 암호화폐 절도 미스터리를 해결했다며 이 문제를 신속하게 보도했습니다.
그러나 기소가 미스터리를 끝내는 열쇠는 아니다. 이는 국내 및 해외 모두에서 암호화폐 회사가 점점 더 많은 규제 및 경제적 우려에 직면하고 있다는 사실을 강조합니다. 특히 2022년 11월 FTX를 대상으로 발생한 SIM 카드 하이재킹 사기 사건은 거의 가장 기본적인 해킹 수법이라고 볼 수 있다. 이 수법은 신원을 도용하고 금융계좌 명의를 사칭하는 방식으로, 주로 고객과 계좌 소유자에게 제공하는 기업을 공격한다. 2단계 또는 다단계 인증(예: 2FA 및 MFA)과 같이 점점 더 시대에 뒤떨어지는 개인정보 보호.
미국의 연방 규제 기관에서는 SIM 카드 하이재킹 공격에 취약한 개인 정보 보호 프로그램을 사용하는 시스템의 잠재적 피해에 대해 점점 더 우려하고 있습니다. 연방통신위원회(Federal Communications Commission)는 새로운 규칙을 개발하고 있으며 미국 증권거래위원회(SEC)의 최근 사이버 보안 규정으로 인해 기업은 이 특정 위협에 대한 개인정보 보호를 강화해야 할 가능성이 높습니다. 특히 삼성전자도 얼마 전 SIM 카드 탈취 사건을 겪은 뒤 이 분야 규제를 강화하겠다는 의지가 더욱 강해진 것 같다.
새로운 혐의와 FTX 해커
2024년 1월 24일, 컬럼비아 특별구 미국 검찰청은 United States v. Powell et al.이라는 제목의 기소장을 공개했습니다. 라고 한다Robert Powell, Carter Rohn과 Emily Hernandez는 협력하여 50명 이상의 피해자의 개인 식별 정보(PII)를 훔쳤습니다.
그런 다음 세 사람은 훔친 정보를 사용하여 통신 제공업체를 속여 신원 도용 피해자의 휴대폰 계정 번호를 피고 또는 이름이 밝혀지지 않은 공모자가 소유한 새 장치로 전송하도록 위조 ID를 만들었습니다. 세 명의 피고인은 훔친 PII를 그에게 판매했습니다.
이 계획은 피해자의 전화번호를 범죄자가 관리하는 실제 전화에 재할당하는 방식에 의존했으며, 이를 위해서는 피해자의 번호(본질적으로 신원)를 가입자 식별 모듈(또는 SIM)로 전송하거나 포팅해야 했습니다. 카드는 실제로 저장되었습니다. 범죄자의 새 기기에서 이를 SIM 하이재킹 계획이라고 합니다.
미국 대 파월(Powell) 사건에서 설명된 SIM 카드 하이재킹 계획을 통해 피고와 익명의 공모자는 무선 통신 제공업체를 속여 합법적인 사용자의 SIM 카드에서 피고 또는 익명의 공모자의 SIM 카드에 제어되는 휴대폰 번호를 다시 할당하도록 했습니다. SIM 카드 하이재킹을 통해 Powell 트리오와 다른 사람들은 다양한 금융 기관에 있는 피해자의 전자 계좌에 접근하고 해당 계좌에서 자금을 훔칠 수 있었습니다.
피고인의 SIM 하이재킹의 주요 이점은 계정에 액세스하는 사람이 합법적인 계정 소유자인지 확인하도록 설계된 새로운 사기 장치에서 해당 금융 계정의 메시지를 가로챌 수 있다는 것입니다. 일반적으로 사기 행위가 포함되지 않은 경우 이 인증을 통해 합법적인 사용자에게 SMS 문자 메시지나 기타 메시지가 전송되고, 해당 사용자는 문자 메시지나 메시지에 포함된 코드를 제공하여 계정에 대한 액세스 시도를 확인합니다. 하지만 이 경우에는 비밀번호가 사기꾼에게 직접 전송됐고, 사기꾼은 이를 이용해 계좌 소유자를 사칭해 자금을 인출했다.
파월의 기소장에는 FTX가 피해자로 명시되어 있지 않지만, 기소장에 기술된 최대 규모의 SIM 재킹 사기 사건 혐의는 회사가 파산을 공식 선언한 시기에 FTX에서 발생한 해킹 사건을 가리키는 것으로 보인다. 금액은 공개적으로 보고된 해킹과 일치하며 언론 보도에는 FTX가 Powell이 설명한 피해자 회사-1이라는 조사 대상자들의 확인이 포함되었습니다. FTX 해킹이 발생했을 때 가해자에 대한 많은 추측이 있었습니다. 내부자, 배후에서 활동하는 정부 규제 기관?
파월의 기소를 보도하는 많은 기사의 헤드라인에서는 미스터리가 해결되었다고 주장했습니다. 세 명의 피고인이 FTX 해킹을 수행했습니다. 그러나 실제로 기소 내용은 정반대를 시사하고 있다. 기소장에는 세 명의 피고인의 이름이 정확히 명시되어 있고 개인 식별 정보(PII) 도난 혐의, 사기로 획득한 SIM 카드에 전화번호 전송, 도난당한 FTX 액세스 코드 판매 혐의가 자세히 설명되어 있지만, 기소장에는 이러한 언급이 눈에 띄게 생략되어 있습니다. FTX 자금의 실제 도난을 설명할 때 세 명의 피고인이 있습니다.
대신 “공모자들은 FTX 계정에 무단 접근권을 얻었다”며 “공모자들은 FTX의 가상화폐 지갑에서 공모자들이 관리하는 가상화폐 지갑으로 4억 달러 이상의 가상화폐를 이체했다”고 명시하고 있다. 청원서는 피고가 저지른 행위와 관련하여 피고의 이름을 언급하는 것입니다. 여기서 마지막이자 가장 중요한 조치를 취한 것은 이름 없는 공모자였습니다. 이 공모자가 누구인지에 대한 미스터리는 남아 있으며 새로운 혐의가 드러나거나 재판에서 더 많은 사실이 밝혀질 때까지 계속될 가능성이 높습니다.
규제 기관 및 비즈니스 위험
FTX 사건은 SIM 카드 하이재킹 계획의 단순성과 만연성에 대한 검찰과 규제 당국의 인식이 높아지고 있음을 강조합니다. 파월의 기소장을 읽는 것은 연방 기소장을 읽는 것과 연방 및 주 검찰이 매년 추적하는 수백 건의 신용 카드 도난 혐의 중 하나를 읽는 것과 다르지 않습니다. 사기에 관한 한 SIM 카드 하이재킹은 저렴하고, 기술 수준이 낮으며, 형식적입니다. 그러나 당신이 범죄자라면 이 방법이 효과가 있다.
SIM 카드하이재킹의 효율성은 주로 통신 사기 방지 및 인증 프로토콜의 취약점과 금융 서비스 회사를 포함한 많은 온라인 서비스 제공업체에서 기본적으로 사용하는 상대적으로 약한 사기 방지 및 인증 절차의 결과입니다. 가장 최근인 2023년 12월, 연방통신위원회는 무선 서비스 제공업체의 SIM 카드 하이재킹 취약점을 해결하기 위한 조치를 취하는 보고서와 명령을 발표했습니다. 보고서와 명령에는 파월의 기소에 설명된 SIM 교체를 수행하기 전에 무선 제공업체가 안전한 고객 인증 방법을 사용하도록 요구하는 동시에 고객이 기기에서 전화번호를 합법적으로 변경할 때 누릴 수 있는 상대적 편의성을 유지하려고 노력하는 내용이 포함되어 있습니다. SIM 카드 하이재킹에 직면한 공격자는 기본 다단계 인증을 악용합니다(MFA), 특히 안전하지 않은 SMS 메시징 채널을 통해 보안이 덜한 2단계 인증(2FA)의 편리성에 대한 인식이 높아지면서 이러한 균형 잡힌 행동은 암호화 회사를 포함하여 이에 의존하는 통신업체와 서비스 제공업체에 계속해서 과제를 제기할 것입니다. 도전을 가져옵니다.
암호화로 안전함
파월이 기소한 혐의와 관련하여 조사가 강화되는 그룹은 무선 서비스 제공업체뿐만이 아닙니다. 이 사건은 암호화폐 산업에 대한 교훈과 경고도 담고 있습니다.
파월 사건의 피고인들은 실제로 FTX 지갑에 접속해 유출한 사람들은 아니었지만, 이를 위해 상대적으로 기본적인 SIM 카드 탈취 수법을 통해 획득한 인증 코드를 제공한 것으로 알려졌다. SEC의 새로운 사이버 보안 체제의 맥락에서, 이 사건은 FTX 사건에서 저지른 해킹을 포함하여 사이버 보안 위험을 평가하고 관리하기 위한 프로세스를 개발하기 위해 미국에서 운영되는 거래소의 필요성을 강조합니다. SEC 자체가 최근 SIM 재킹 공격의 피해자가 되었다는 점을 고려하면, SEC의 집행 기관이 거래소를 대상으로 한 SIM 재킹 공격에 더 많은 관심을 기울일 것으로 예상할 수 있습니다.
이로 인해 SEC나 기타 규제 기관의 감독을 피하는 역외 거래소가 불리해질 수 있습니다. 사이버 보안 위험 관리, 전략 및 거버넌스에 대한 정보를 정기적으로 공개해야 한다는 SEC의 요구 사항은 외부 감사와 함께 고객과 상대방이 FTX와 같은 사고의 위험을 완화하기 위해 이러한 회사가 취하는 단계를 이해할 수 있도록 보장합니다. 역외 기업도 사이버 보안 공개에 대해 유사하게 투명한 접근 방식을 취할 수 있지만 이를 위해서는 해당 기업의 투명성 의지가 필요하며 FTX가 보여준 것처럼 이러한 기업은 투명성 개념에 다소 저항할 수 있습니다. 암호화폐 회사와 프로젝트는 단순히 잠재적인 사기꾼(Powell 사건에서 설명한 피고인과 같은)이 수백만 달러의 사이버 보안을 유지하는 것을 막는 것보다 훨씬 더 강력한 보안을 채택, 공개, 입증 및 유지하라는 규제 기관과 시장의 더 큰 압력에 직면할 것으로 예상할 수 있습니다. 달러가 탈출하는 보안 관행.
IOS
Android