2025년 5월 16일(현지시간), 미국 워싱턴 D.C. 연방법원은 알라바마주 헌츠빌 출신의 에릭 카운슬 주니어(Eric Council Jr., 26세)에게 징역 14개월과 3년간의 보호관찰을 선고했다. 혐의는 미국 증권거래위원회(SEC)의 공식 소셜미디어 계정(X, 구 트위터)을 무단 해킹하고, 허위 정보를 통해 비트코인 시장을 조작한 사이버 범죄였다.

카운슬은 2025년 2월, 신원 도용 및 접근 장치 사기 음모 혐의에 대해 유죄를 인정했다. 그가 가담한 범행은 시장에서 가장 민감하게 주목받고 있던 비트코인 ETF 승인 소식을 날조해 가격을 급등시킨 사건이다.

법원에 따르면 그는 공범들과 공모해 SEC의 공식 X 계정을 장악한 뒤, 시장에서 가장 민감하게 주목받고 있던 비트코인 상장지수펀드(ETF) 승인 발표를 가장한 허위 정보를 게시했다. 이 조작된 발표 직후 비트코인 가격은 개당 1,000달러 이상 급등했고, 사실이 아님이 드러난 직후에는 2,000달러 이상 급락하며 시장에 심각한 혼란과 손실을 초래했다.

범행 수법: 고도로 정교한 SIM 스와핑

범죄에 사용된 핵심 수법은 ‘SIM 스와핑(SIM Swapping)’이다. 이는 통신사 고객센터를 속여 피해자의 휴대폰 번호를 범죄자가 소유한 SIM 카드로 이전시키는 방식으로, 이후 해당 번호로 등록된 SNS나 금융 계정에 불법 접근이 가능해진다.

카운슬은 공범으로부터 피해자의 개인 식별 정보를 입수한 뒤, 신분증 카드 프린터를 이용해 위조된 신분증을 제작했다. 이 신분증을 사용해 피해자로 가장하여 휴대전화 번호를 탈취했고, 결국 이를 통해 SEC의 공식 X 계정에 접근하게 되었다. 이후 공범들은 SEC 위원장 명의로 비트코인 ETF 승인을 발표하는 허위 게시물을 올렸다. 카운슬은 이 범죄에 대한 대가로 비트코인으로 보상을 받은 것으로 드러났다.

기술·금융·정부 신뢰의 삼중 위협

이번 사건은 단순한 해킹을 넘어, 미국 금융시장의 근간을 뒤흔든 복합적 위협 사건으로 분석된다.

기술적 위협: SIM 스와핑은 전통적인 해킹 방식보다 훨씬 정교하며, 개인 정보뿐 아니라 공공기관까지도 피해자가 될 수 있음을 입증했다.

경제적 피해: 허위 정보로 인한 비트코인 가격 급등락은 수백만 달러 규모의 손실을 발생시켰으며, 투자자들의 신뢰를 심각하게 훼손했다.

사회적 신뢰 붕괴: SEC처럼 가장 신뢰받아야 할 기관의 공식 발표 채널이 조작된 정보의 수단이 되면서, 공공기관 전체의 정보 신뢰도가 타격을 입었다.

 
“시장을 해치면 반드시 처벌”

이번 사건을 수사한 FBI 워싱턴 지부와 SEC 감사국은 이를 ‘디지털 금융 생태계를 위협하는 조직적 공격’으로 규정했다.

매튜 R. 게일로티 법무부 형사국장은 “공공 플랫폼을 통해 시장을 조작하는 시도는 절대 용납되지 않는다”며, “디지털 자산 생태계의 신뢰성을 지키기 위해 사이버 금융 범죄자들을 끝까지 추적하고 기소하겠다”고 밝혔다.

지닌 피로 워싱턴 D.C. 연방검사는 “SIM 스와프 사기는 일반 시민, 금융기관, 정부기관 모두를 위협하는 행위”라며, “잡히지 않을 거란 환상은 버려라. 반드시 기소되고, 대가를 치르게 될 것”이라고 경고했다.

대런 콕스 FBI 범죄수사국 부국장 대행은 “이번 사건은 명백히 공공을 기만하고 시장을 조작하려는 계획적 범죄”라며, “공공 플랫폼을 악용하는 자는 누구든 책임을 지게 될 것”이라고 말했다.

SEC 감사국의 아만다 제임스 수사국장은 “이번 사건은 SEC의 무결성을 지키기 위한 감사기관의 지속적인 감시 의지를 보여주는 사례”라고 밝혔다.

사이버 범죄의 보이지 않는 전쟁터

이번 사건에서 사용된 SIM 스와핑은 단독 범죄 수법이 아닌, 더 큰 사회공학(Social Engineering) 전략의 일부였다. 미국 연방수사국(FBI)은 사이버 범죄자들이 금융 계좌, 기업 시스템, 정부 네트워크에 접근하기 위해 다양한 사회공학 기법을 사용하고 있다고 경고한다.

이러한 기법은 사람의 심리를 악용하여 보안 체계를 우회하는 기술로, 기술적 해킹보다 위험도가 높고 탐지 또한 어렵다. 최근 사이버 범죄자들이 주로 사용하는 방식은 다음과 같다:

• 직원 사칭(Pretexting): 범죄자가 회사 내부 직원인 것처럼 속여 IT 부서나 헬프데스크에 연락해 계정 접근 권한을 탈취한다.
• SIM 스와핑: 피해자의 개인 정보를 바탕으로 통신사를 속여 전화번호를 자신의 SIM 카드로 이전한 뒤, 이를 통해 이중 인증(MFA)을 우회해 SNS나 금융 계정에 접근한다.
• 통화 전달 및 동시 벨소리 설정(Call Forwarding & Simultaneous Ringing): 피해자의 전화번호로 걸려오는 전화를 자신의 기기로 연결하거나 동시에 여러 기기에서 수신되도록 설정해, 인증번호 등 중요 정보를 가로챈다.
• 피싱(Phishing): 은행, 고용주, 통신사 등을 사칭한 이메일이나 메시지를 보내 피해자가 링크를 클릭하고 개인 정보를 입력하도록 유도한다. 이 방식은 VPN 로그인 정보, 사회보장번호, 계좌정보 등 민감한 데이터를 수집하는 데 쓰인다.

FBI는 이처럼 다양한 방식의 사회공학 기술이 결합될 경우, 피해자의 계정과 네트워크에 무단 접근하고, 데이터를 탈취하거나 금전적 협박까지 이어질 수 있다고 경고한다. 

사회공학으로부터 자신을 지키는 방법

FBI는 사이버 공격을 막기 위해 개인과 기업 모두의 ‘디지털 위생(Digital Hygiene)’ 실천을 강조한다.

■ 개인 사용자에게 권고하는 사항:

• 전화, 이메일, 문자 등으로 일회용 비밀번호나 개인정보를 요청하는 연락에 응답하지 말 것.
• 통신사에 연락해 SIM 변경, 착신 전환, 동시 벨소리 기능을 차단할 것.
• 2단계 인증(MFA)을 필수로 설정하되, 이메일 기반 인증은 피할 것.
• 자신의 휴대전화 계정 페이지를 주기적으로 점검해 로그인 기록이나 설정 변경 여부를 확인할 것.
• 비밀번호는 최소 16자 이상의 강력하고 무작위적인 문자열을 사용하고, 다른 계정 간 재사용을 피할 것.
• SNS나 웹사이트에 전화번호, 주소 등 개인 정보를 게시하지 말 것.

■ 기업이 취해야 할 조치:

• 조직 외부에서 수신한 이메일에 ‘외부 이메일’ 등의 배너를 자동 삽입할 것.
• 헬프데스크 및 고객센터 직원을 대상으로 사회공학 및 피싱 교육을 정기적으로 실시할 것.
• 의심스러운 로그인 시도나 반복된 인증 실패 시 자동 계정 잠금 시스템 도입.
• BYOD 환경에서도 MFA를 필수로 적용하고, 익명 VPN을 통한 로그인을 차단할 것.
• 고객 정보를 요청하는 제3자 연락은 반드시 공식 경로를 통해 인증할 것.
• Scattered Spider 등 실제 위협 사례를 기반으로 정기 훈련 시나리오 운영.

특히 Scattered Spider와 같은 실제 위협 그룹 사례를 바탕으로 한 실전 중심 훈련이 효과적이다. 사회공학 피해가 의심된다면 즉시 계정 제공업체에 연락해 접근을 차단하고, 인터넷 범죄 신고센터에 피해 사실을 공식 신고해야 한다.

디지털 시대, 보안의 진짜 전쟁은 '신뢰'에 있다

이 사건은 단순한 해킹이나 일회성 범죄가 아니다. 기술과 금융, 정보의 경계가 흐려지는 디지털 자산 시대에, 가장 큰 무기는 '정보'이고, 가장 큰 타격은 '신뢰의 훼손'이다.

“기계를 해킹하는 것은 어렵다. 하지만 사람을 속이는 건 의외로 쉽다.”

디지털 사회에서 보안은 기술만으로 완성되지 않는다. 이제는 사람을 보호하는 기술, 기술을 이해하는 사람이 함께 있어야 진짜 안전한 시스템이 만들어진다.

“디지털 시대의 가장 강력한 화폐는, 진실이다.”

[저작권자ⓒ META-X. 무단전재-재배포 금지]