ZachXBT, 17세에 3700만 달러 암호화폐 절도한 캐나다 청소년 신원 공개하며 법적 처벌 미흡 비판

암호화폐 조사관 ZachXBT가 수년간 공개적 노출 없이 3700만 달러의 암호화폐를 훔친 청소년을 추적한 후 실제 처벌을 요구하고 있으며, 특히 미성년 해커들이 SIM 스와핑과 피싱 같은 범죄에 연루되었을 때 캐나다와 EU의 법이 너무 관대하다고 지적했다.

1일(현지시간) 크립토폴리탄에 따르면, ZachXBT가 수년간 공개적 노출 없이 3700만 달러의 암호화폐를 훔친 청소년을 추적한 후 실제 처벌을 요구하고 있다.

일요일 X 게시물에서 자크(Zach)는 캐나다와 EU의 법이 너무 관대하다고 말했으며, 특히 미성년 해커들이 SIM 스와핑과 피싱 같은 범죄에 연루되었을 때 그렇다고 지적했다. 그는 17세에 한 피해자를 SIM 스와핑으로 수백만 달러를 털어낸 캐나다인 캐머런 레드맨(Cameron Redman)을 직접 지목했으며, 이후 조용히 기소되었지만 자크가 폭로할 때까지 이름과 얼굴이 숨겨졌다.

자크에 따르면 "캐머런 레드맨은 17세였던 2020년에 3700만 달러 SIM 스와핑을 도왔다. 그가 피싱 / X ATO에 연루된 후 내가 게시할 때까지 인터넷에 그의 전체 이름이나 사진에 대한 언급이 전혀 없었다. 그의 이름이 보호되거나 숨겨져야 할 이유가 전혀 없다"고 밝혔다.

해킹은 2020년 2월 22일 레드맨이 초기 암호화폐 투자자인 조시 존스(Josh Jones)를 SIM 스와핑하고 그의 번호를 통제하게 되면서 발생했다. 이를 통해 그는 조시의 지갑과 연결된 보안을 우회할 수 있었다. 레드맨은 두 개의 BTC 지갑과 하나의 BCH 주소에서 1547개의 비트코인과 6만 개의 비트코인 캐시를 빼냈다.

절도 후 레드맨은 수백 건의 작은 거래를 통해 BCH를 세탁하기 시작했으며, 추적을 피하기 위해 중앙화 거래소로 보냈다. 자크는 도난당한 토큰이 블록체인을 통해 어떻게 이동했는지 보여주는 차트를 게시했으며, 대부분이 단 두 개의 거래소에서 끝났다고 밝혔다.

경찰이 개입할 때까지 돈의 대부분은 이미 흩어진 상태였다.

2021년 11월 17일이 되어서야 레드맨은 FBI와 미국 비밀경호청의 지원을 받은 온타리오 해밀턴 경찰에 의해 정식으로 기소되었다. 경찰은 540만 달러의 암호화폐를 압수할 수 있었지만 나머지 3150만 달러는 회수되지 않았다. 체포 당시 레드맨은 여전히 법적으로 미성년자였기 때문에 그의 이름은 봉인되었고 사진도 공개되지 않았다.

자크는 그러한 비밀주의가 문제의 일부라고 말했다. 그는 레드맨이 피싱과 X 계정 탈취로 옮겨간 것으로 알려진 후에는 그의 신원이 공개되었어야 한다고 믿는다. 이러한 탈취는 해킹된 NFT 관련 프로필을 신뢰하고 지갑 자격 증명을 넘겨주도록 속은 팔로워들로부터 수백만 달러의 손실을 야기한 것으로 알려졌다.

자크의 좌절감은 한 해커에 관한 것이 아니다. SIM 스와핑은 특히 2024년과 2025년에 빠르게 증가하고 있다. 영국은 전년 대비 1055% 증가를 보였으며, 289건에서 2985건으로 급증했다. 미국에서는 FBI가 2021년 6800만 달러의 SIM 스와핑 손실을 기록했고, 2023년에는 1000명 이상의 피해자로부터 4880만 달러, 2024년에는 8200만 달러를 기록했다.

피해는 이탈리아 마피아와 연결된 조직을 포함한 조직범죄 집단들이 이제 SIM 스와핑을 사용해 수백만 달러 절도를 저지를 만큼 심각하다.

이 방법은 저기술이지만 강력하다. 해커들은 피싱, 침해 또는 소셜 미디어를 통해 충분한 개인 정보를 훔쳐 모바일 제공업체를 속여 누군가의 번호를 넘겨받도록 한다. 일단 통제하게 되면 SMS로 전송된 2FA 코드를 가로채고, 사용자를 계정에서 잠그고, 암호화폐 지갑과 은행 계좌를 비우기 시작한다.

결과는 잔인할 수 있다. 피해자들은 수만 달러를 잃고, 신원 도용에 직면하고, 사기성 부채를 떠안게 되었다. 영국의 한 사람은 여러 계정에서 5만 파운드가 사라지는 것을 보았다. 또 다른 사람은 2200파운드의 가짜 요금을 당했다.

트위터의 창립자이자 전 CEO인 잭 도시(Jack Dorsey)조차 2019년에 이 전술을 사용해 계정을 탈취당했다. 2018년에는 한 암호화폐 투자자가 유사한 SIM 해킹으로 한 번에 2380만 달러를 잃었다.

eSIM 기술이 물리적 위험을 줄이긴 하지만, 진짜 약점이 여전히 인간의 실수와 사회공학이기 때문에 문제를 해결하지 못했다. 기술 전문가들은 SMS 기반 이중 인증에 의존하는 것보다 구글 어센티케이터(Google Authenticator) 같은 인증 앱을 사용하는 것이 더 안전하다고 말한다.

그들은 또한 통신사와 맞춤형 PIN을 설정하고, 온라인에서 덜 공유하고, 스와핑이 의심되면 빠르게 반응할 것을 제안한다. 이는 계정 동결, 통신사 연락, 거래 기록 주시를 의미한다. 하지만 이 모든 것에도 불구하고 범죄자들은 계속 적응하고 있으며, 현재의 시스템은 그들을 완전히 막기에 충분히 강하지 않다.