비탈릭 부테린 이더리움 공동 창립자가 지난주 자신의 엑스(옛 트위터) 계정 해킹 수법은 ‘심스왑’이었다고 밝혔다.
부테린은 11일(현지시각) 탈중앙화 소셜네트워크인 워프캐스트에서, “전화번호는 안전하지 않으니 인증하지 말라는 조언을 본 적 있지만, 이 정도인 줄은 몰랐다”며 이같이 말했다.
그는 “전화번호만으로 트위터 계정의 비밀번호를 재설정할 수 있다는 것을 몰랐다”고 설명했다.
부테린은 트위터 블루에 가입할 때 휴대전화를 추가한 것 같다고 말했다. 트위터 블루는 트위터의 프리미엄 구독 서비스로 도달 범위 확대, 트윗 우선순위 지정 등 여러 추가 기능을 제공한다.
심스왑은 스마트폰 유심 정보를 복제해 스마트폰을 해킹하는 수법이다. 일단 사용자의 전화번호를 확보한 뒤, 2단계 인증(2FA)을 우회해 소셜미디어나 이메일, 은행 계좌, 암호화폐 계정 등 개인 정보에 접근한다.
CZ, “엑스는 금융 플랫폼으로 만들어지지 않아”
부테린의 엑스 계정이 해킹당한 것은 지난 9일이다. 해커는 부테린의 엑스 계정에 가짜 대체불가능토큰(NFT) 경품을 게시해, 피해자들이 악성 링크를 클릭하도록 유도한 뒤 69만 1000달러(약 9억 2000만원)를 탈취했다.
부테린 계정 해킹 후, 자오창펑(CZ) 바이낸스 대표는 소셜네트워크에 있는 게시글을 읽을 때 주의해야 한다고 강조했다. CZ는 “트위터 계정 보안은 금융 플랫폼으로 설계되지 않았다. 훨씬 더 많은 기능이 필요하다”면서 “2단계 인증과 로그인 아이디는 사용자명(handle)이나 이메일 등과 달라야 한다”고 덧붙였다.
팀 베이코 이더리움 개발자도 지난 10일 엑스를 통해 “엑스 계정에 있는 전화번호를 삭제하고 2FA를 활성화해야 한다”고 강력히 권고했다.
암호화폐 업계에서 ‘심스왑’ 사건은 심심찮게 일어난다. 2020년도 심스왑 공격으로 사용자의 암호화폐 870만 달러 상당이 도난된 사건으로 통신사 T모바일이 이를 방조한 혐의로 고소당한 적도 있었다. 2021년 2월에도 심스왑 사건으로 소송을 당했다.
부테린, 엑스에 다시 돌아올까?
한편, 부테린은 탈중앙 소셜네트워크인 워프캐스트를 사용하게 돼 기쁘게 생각한다고 말했다. 워프캐스트는 파캐스터(Farcaster) 프로토콜 기반의 플랫폼으로 사용자가 이더리움 주소를 통해 계정을 복구할 수 있다.
부테린은 엑스를 다시 사용할지 여부는 언급하지 않았다.
비인크립토 웹사이트에 포함된 정보는 선의와 정보 제공의 목적을 위해 게시됩니다. 웹사이트 내 정보를 이용함에 따라 발생하는 책임은 전적으로 이용자에게 있습니다.
아울러, 일부 콘텐츠는 영어판 비인크립토 기사를 AI 번역한 기사입니다.