암호화폐 분야의 보안: 사회적 공학의 위협
암호화폐 공간에서 보안은 더 이상 단순한 비밀번호나 비밀 키의 문제가 아닙니다. 오늘날 가장 교활하고 빠르게 성장하는 위협은 사회적 공학으로, 기술적 취약점이 아니라 인간의 심리를 공격합니다.
전통적인 해킹과 달리 사회적 공학은 사람을 조작하여 그들이 자발적으로 기밀 정보를 공개하거나 시스템에 대한 무단 접근을 제공하도록 유도합니다. 사기꾼들은 속임수, 심리적 기법 및 신뢰 구축 전술을 사용하여 피해자의 감정을 자극합니다.
암호화폐 소유자에게 이러한 조작은 특히 위험합니다. 거래는 되돌릴 수 없으며, 암호화폐의 분산된 특성은 잃어버린 자산을 복구하는 것을 어렵게 만듭니다. 만약 자금이 지갑에서 빠져나가면, 그것은 영원히 사라진 것으로 간주해야 합니다.
놀랍게도 2024년, 피싱 스푸핑은 미국 FBI의 사이버 범죄 목록에서 1위를 차지했으며, 피해자들은 암호화폐 투자 사기로 인해 65억 달러 이상을 잃었다고 인터넷 범죄 불만 센터 보고서는 전합니다.
공격의 해부학: 사기꾼의 단계별 가이드
암호화폐 세계에서 사회적 공학은 신뢰를 얻고 긴박감을 조성한 후, 피해자의 지갑을 비우기 위한 민감한 정보를 훔치는 방식으로 작동합니다.
1. 정보 수집 – 목표물 찾기
사기꾼들은 소셜 미디어에서 사용자를 관찰하는 것으로 시작합니다: X, Discord, Telegram, Reddit 등.
그들은 다음을 찾습니다:
- 도움을 요청하는 초보자
- 수입이나 NFT를 자랑하는 사람들
- 지갑 주소나 이메일을 우연히 공개하는 사용자들
그들이 모은 정보가 많을수록 개인화된 공격을 만들기가 쉬워집니다.
2. 접촉 – 신뢰 구축
그들은 이후 다음과 같은 방식으로 연락을 취합니다:
- 고객 지원 직원(예: MetaMask 또는 Binance)
- 유명한 암호화폐 인플루언서
- 친구나 커뮤니티 관리자
그들은 프로필 사진, 사용자 이름(때때로 약간의 수정), 심지어 가짜 인증 배지를 복제하여 진짜처럼 보이게 합니다. 모든 것이 사용자의 경계를 낮추기 위해서입니다.
3. 미끼 – 긴급성 또는 두려움 조성
그들은 이제 긴급하고 두려움을 주거나 매력적인 메시지를 사용하여 사용자의 감정을 자극합니다:
- “당신의 지갑이 위협받고 있습니다 — 지금 행동하세요!”
- “독점 에어드랍이 5분 후에 끝납니다!”
- “우리는 의심스러운 활동을 발견했습니다 — 계정을 확인하세요!”
그들은 두려움, 흥분, 시간 압박을 사용하여 사용자가 신중하게 생각하지 않고 빠르게 행동하도록 유도합니다.
4. 요구 사항 – 기밀 정보 추출
여기서 진짜 함정이 작동합니다. 그들은 다음과 같이 요구합니다:
- 비공개 키나 시드 구문을 공유하라(큰 빨간 경고)
- MetaMask, Phantom, OpenSea를 모방한 피싱 사이트로 이동하라
- 당신의 지갑을 비울 수 있는 의심스러운 스마트 계약을 승인하라
- “계정을 확인”하거나 “자금을 잠금 해제”하기 위해 적은 양의 암호화폐를 보내라
이 단계에서 걸리면 게임은 끝난 것입니다.
5. 강탈 – 지갑 비우기
그들은 당신의 기밀 정보를 얻거나 악성 거래에 서명을 받으면, 즉시 당신의 지갑을 비우고:
- 자산을 개인 코인(예: Monero)으로 변환하여 흔적을 숨깁니다.
- 믹서나 거래소를 통해 자금을 세탁합니다.
피해자들은 대개 너무 늦게 도난 사실을 깨닫습니다. 불행히도 대부분의 경우 자금은 회수할 수 없습니다.
흥미로운 사실: 온라인 분석가 ZachXBT는 2025년 2월 초에 Coinbase 사용자들로부터 $65 million을 훔친 사회적 공학 공격을 공개했습니다. 그는 이 전술이 다른 암호화폐 거래소보다 특히 Coinbase에서 더 많이 발생한다고 주장합니다.
암호화폐에서 인기 있는 사회적 공학 유형
사기꾼들은 피싱, 신분 사칭, 가짜 경품, 연애 사기, 가짜 투자 플랫폼 등을 통해 암호화폐 소유자들을 공격합니다.
피싱
피싱은 여전히 암호화폐 세계에서 가장 흔한 사회적 공학의 형태 중 하나입니다. 여러 형태로 나타날 수 있지만, 보통은 합법적으로 보이도록 만든 가짜 웹사이트, 앱 또는 이메일을 포함합니다.
- 가짜 지갑 앱: 사기꾼들은 MetaMask나 Trust Wallet과 같은 인기 있는 지갑 앱의 가짜 버전을 만들어 사용자들이 이를 다운로드하도록 유도합니다. 그런 다음 이 앱들은 비공개 키와 그 안에 있는 자산을 훔칩니다.
- 가짜 거래소: 마찬가지로 사기꾼들은 유명한 암호화폐 거래소를 모방할 수 있습니다. 피해자에게 피싱 사이트 링크가 보내지고, 이는 Binance나 Coinbase와 같은 실제 플랫폼처럼 보입니다. 사용자가 시스템에 로그인하고 자신의 정보를 입력하면, 사기꾼은 그들의 자산에 접근하게 됩니다.
- 가짜 MetaMask 팝업: 흔히 사용하는 트릭은 MetaMask 사용자에게 시드 구문이나 비공개 키를 입력하라고 요청하는 가짜 팝업 창입니다. 이는 사기꾼에게 그들의 지갑에 대한 통제 권한을 줍니다.
신분 사칭
신분 사칭은 사기꾼들이 자신을 합법적인 인물로 가장하는 것입니다 — 지원 직원, 암호화폐 인플루언서 또는 심지어 친구일 수 있습니다 — 피해자가 정보를 제공하거나 자금을 넘기도록 설득하려고 합니다.
- 가짜 지원 서비스: 많은 경우, 사기꾼들은 인기 있는 암호화폐 지갑이나 거래소의 지원 서비스 직원으로 가장합니다. 그들은 사용자에게 계정에 문제가 있다고 주장하고 비밀번호나 시드 구문과 같은 기밀 정보를 요청할 수 있습니다.
- 인플루언서와 친구들: 사기꾼들은 유명한 암호화폐 인플루언서나 친구를 사칭하여 자금을 요청하거나 피해자에게 사기 활동에 참여하도록 설득할 수 있습니다. 일부 사기꾼은 암호화폐 인플루언서의 소셜 미디어 계정을 해킹해 가짜 경품이나 투자 기회를 제공합니다.
예를 들어, Binance의 창립자 Changpeng Zhao(CZ)는 그의 얼굴을 사용한 딥페이크를 이용하여 암호화폐 경품을 진행하는 사기꾼들에 대해 여러 차례 경고해야 했습니다.
«1 ETH를 보내면 2 ETH를 받는다» — 이는 암호화폐 커뮤니티에서 오랫동안 떠돌아다니는 전형적인 사기입니다. 사기꾼들은 유명인사나 공식 암호화폐 거래소를 모방하여 신뢰할 수 있는 인물로 가장하며, 배포 이벤트를 진행한다고 주장합니다.
특히 빌 게이츠나 일론 머스크와 같은 유명 인사의 계정을 위조하는 것이 인기가 높습니다. 범죄자들은 사진과 게시물의 역사까지 정확히 복사한 프로필을 만들어 암호화폐의 관대한 배포를 발표합니다.
이 사기의 함정은 무엇일까요? 사기꾼은 여러분에게 지정된 지갑 주소로 암호화폐를 보내도록 요청하며, “나중에” 더 많은 양의 암호화폐를 받을 것이라고 주장합니다. 자금이 전송되면, 그들은 사라집니다.
로맨틱 및 친구 사기
로맨틱 및 친구 사기, 종종 ‘돼지 도살(pig butchering)’로 알려진 이 사기는 사기꾼이 텔레그램과 같은 메시징 플랫폼이나 심지어 데이팅 앱을 통해 피해자와 감정적 유대를 구축할 때 발생합니다. 시간이 지남에 따라 사기꾼은 피해자의 신뢰를 얻고, 이후 가짜 투자 기회로 유인하는데, 종종 암호화폐가 포함됩니다.
‘돼지 도살’이라는 이름은 중국에서 유래되었으며, 사기꾼이 먼저 ‘돼지’(피해자)를 아첨과 관심으로 ‘기르기’ 시작한 후, 모든 돈을 빼앗으며 ‘도살’하는 과정을 비유적으로 설명합니다.
피해자들은 조작당하게 되어 안전한 투자라 믿는 곳에 자금을 송금하게 되며, 사기꾼이 사라졌을 때 모든 돈을 잃게 됩니다.
가짜 투자 플랫폼
가짜 투자 플랫폼은 최소한의 위험으로 매우 높은 수익을 약속합니다 — 너무 좋게 들려 믿기 어려운 것들입니다. 이러한 사기들은 정당한 암호화폐 투자 플랫폼을 모방하여 암호화폐 투자로부터 높은 수익을 약속하거나 수동 소득을 제공합니다.
사용자들이 자금을 입금하면, 플랫폼은 사라지거나 사기꾼이 메시지에 대한 응답을 중단합니다.
왜 사회 공학이 암호화폐에서 효과적인가
사회 공학 공격은 암호화폐 세계에서 번성하는데, 이는 특정한 취약점을 활용하기 때문입니다. 심리적 조작, 기술적 복잡성 및 암호화폐 거래의 불가역적인 특성의 조합은 암호화폐 사용자를 이러한 종류의 사기에 특히 취약하게 만듭니다.
다음은 암호화폐 환경에서 사회 공학이 효과적인 이유를 설명하는 주요 요인입니다:
두려움과 긴급성
암호화폐 사기는 종종 피해자에게 신속한 행동을 취하도록 압박하기 위해 긴급성을 조성합니다. 흔히 볼 수 있는 예로는 “귀하의 계정이 차단되었습니다!” 또는 “자금을 잃지 않기 위해 신원을 확인해야 합니다!”라는 내용의 이메일이나 메시지가 있습니다. 이러한 메시지는 사용자로 하여금 나중에 후회할 충동적인 결정을 내리도록 유도합니다.
탐욕
사회 공학 전술은 종종 사람의 빠르고 쉽게 돈을 벌고자 하는 욕망을 이용합니다. 사기꾼들은 사용자에게 엄청난 투자 수익을 약속하거나 너무 좋게 들리는 ‘독점적인’ 암호화폐 거래를 제안할 수 있습니다. 이는 암호화폐 투자자들의 탐욕에 호소하여 그들이 충동적으로 행동하도록 만듭니다.
레딧에서 발생한 전형적인 사례로, 한 사용자가 24시간 안에 투자금을 세 배로 늘리겠다는 약속에 속아 모든 암호화폐 저축을 잃었다고 공개적으로 인정했습니다. 탐욕이 심지어 경험이 많은 투자자의 마음을 흐리게 만드는 전형적인 이야기입니다.
암호화폐 보안에 대한 지식 부족
많은 암호화폐 사용자, 특히 초보자들은 암호화폐 보안이 어떻게 작동하는지 완전히 이해하지 못할 수 있습니다. 이는 그들이 피싱과 같은 공격에 더 취약하게 만들며, 무의식적으로 개인 키나 비밀번호를 노출할 수 있습니다. 사기꾼은 이러한 지식 부족을 이용하여 조작하고 속입니다.
사회 공학 공격으로부터 자신을 보호하는 방법
사회 공학을 완전히 예방하기는 어렵지만, 경계심을 가지고 이중 인증을 사용하며, 링크를 확인하고 엄격한 보안 조치를 실천하면 위험을 크게 줄일 수 있습니다.
위험을 최소화하기 위해 취할 수 있는 몇 가지 단계는 다음과 같습니다:
예기치 않은 메시지에 회의적이세요
이메일, SMS 또는 소셜 미디어를 통해 받는 예기치 않은 메시지에 항상 주의하세요. 만약 누군가가 갑자기 귀하에게 연락하여 기밀 정보를 요청하거나 돈을 요구한다면, 행동하기 전에 메시지의 진위를 확인하세요.
이중 인증을 활성화하세요
가능한 경우 항상 2FA를 사용하세요. 이는 귀하의 계정에 추가 보안 수준을 추가하여 범죄자가 귀하의 비밀번호를 얻더라도 접근을 어렵게 만듭니다.
링크를 확인하세요
어떤 링크를 클릭하기 전에 마우스를 올려놓아 그 링크가 어디로 연결되는지 확인하세요. URL이 의심스럽거나 공식 사이트와 일치하지 않는 경우 클릭하지 마세요. 암호화폐 거래와 관련된 경우 특히 URL의 진위를 항상 다시 확인하세요.
자신과 다른 사람을 교육하세요
사회 공학에 대한 최고의 방어는 지식입니다. 흔히 발생하는 사기에 대한 정보를 알고 다른 사람과 이 지식을 공유하세요. 아는 것이 많을수록 사기에 걸릴 확률이 줄어듭니다.
검증된 보안 조치를 사용하세요
암호화폐 자산을 보관하기 위해 하드웨어 지갑 사용을 고려하세요. 이는 거래소 플랫폼이나 소프트웨어 지갑에 저장하는 것보다 훨씬 안전하다고 여겨집니다. 항상 귀하의 개인 키와 시드 구문을 안전하게 보관하고 절대 다른 사람과 공유하지 마세요.
암호화폐 보안은 귀하의 경계심에 기반합니다. 사기꾼들이 속임수 기술을 갈고닦는 세상에서, 귀하의 최고의 방어는 지식, 건강한 회의감 및 올바른 보안 습관의 조합입니다. 왜냐하면 가장 발전된 기술도 사기꾼에게 문을 열어주면 효과가 없기 때문입니다.