사람은 안전 시스템에서 가장 취약한 고리이다.
작성자: ChandlerZ, 포어사이트뉴스(Foresight News)
안전은 가장 약한 고리에 달려 있다. 그리고 사람, 즉 암호 시스템의 아킬레스건이다. 시장이 여전히 더 복잡한 암호화 보호 메커니즘을 구축하는 데 몰두하는 동안, 공격자들은 이미 지름길을 발견했다: 암호를 해독할 필요 없이 암호를 사용하는 사람을 조종하면 된다.
직원은 가장 취약한 고리이자 가장 간과되는 고리이다. 다시 말해, 직원은 해커가 가장 쉽게 침투하고 악용할 수 있는 취약점이며, 기업 보안 투자가 가장 적고 개선 속도가 가장 느린 약점이다.
블록체인 분석 기업 Chainalysis의 최신 보고서에 따르면, 2024년 북한 해커들은 47건의 복잡한 공격을 감행했고, 전 세계 암호화폐 플랫폼에서 13억 달러 상당의 자산을 훼손했다. 이는 전년 대비 21% 증가한 수치이다. 더욱 충격적인 것은, 2025년 2월 21일 바이비트(Bybit) 거래소가 해킹 공격을 받아 약 15억 달러 상당의 암호화폐 자산이 도난당했다는 것으로, 이는 암호화폐 역사상 최대 규모의 단일 도난 사건이다.
과거 많은 주요 공격 사건에서, 이는 전통적인 기술적 취약점을 통해 이루어지지 않았다. 거래소와 프로젝트 팀이 매년 수십억 달러를 기술 보안에 투자했음에도 불구하고, 이 수학과 코드로 구축된 세계에서 많은 참여자들은 사회 공학의 위협을 과소평가하고 있다.
사회 공학의 본질과 진화
정보 보안 분야에서 사회 공학은 독특하고 위험한 공격 수단이다. 기술적 취약점이나 암호화 알고리즘 결함을 통해 시스템에 침투하는 것과 달리, 사회 공학은 주로 인간의 심리적 약점과 행동 습관을 이용해 피해자를 속이고 조종한다. 이는 높은 기술 장벽이 필요하지 않지만, 매우 심각한 피해를 초래할 수 있다.
디지털 시대의 도래는 사회 공학에 새로운 도구와 무대를 제공했다. 암호화폐 분야에서 이러한 진화가 특히 두드러진다. 초기 암호화폐 커뮤니티는 주로 기술 애호가와 암호 펑크로 구성되어 경계심과 기술 소양이 높았다. 그러나 암호화폐가 점점 대중화되면서, 관련 기술에 정통하지 않은 새로운 사용자들이 시장에 유입되었고, 이는 사회 공학 공격을 위한 비옥한 토양을 만들어냈다.
다른 한편으로, 거래의 높은 익명성과 불가역성은 암호화폐를 공격자들의 이상적인 목표로 만들었다. 일단 자금이 그들이 통제하는 지갑으로 이체되면 거의 되찾을 수 없다.
사회 공학이 암호화폐 분야에서 쉽게 성공할 수 있는 것은 주로 인간 의사 결정 과정의 다양한 인지 편향 때문이다. 확증 편향은 투자자들이 자신의 기대에 부합하는 정보에만 주목하게 만들고, 대중심리는 시장 거품을 유발하며, FOMO(Fear Of Missing Out) 감정은 사람들이 손실에 직면할 때 비합리적인 선택을 하게 한다. 공격자들은 이러한 심리적 약점을 능숙하게 활용하여 이를 '무기화'한다.
복잡한 암호화 알고리즘을 해독하려 시도하는 것보다, 사회 공학 공격을 실행하는 비용이 더 낮고 성공률이 더 높다. 정교하게 위조된 피싱 이메일, 겉보기에는 정상적이지만 함정이 숨겨진 취업 제안 등이 기술적 난제에 직면하는 것보다 더 효과적일 수 있다.
일반적인 사회 공학 기법
사회 공학 공격 기법은 다양하지만, 핵심 논리는 여전히 '목표의 신뢰와 정보를 속여내는 것'에 집중된다. 다음은 몇 가지 일반적인 방법에 대한 간단한 설명이다:
피싱(Phishing)
이메일/문자 메시지 피싱: 거래소, 지갑 서비스 제공업체 또는 기타 신뢰할 수 있는 기관을 사칭하는 링크를 이용하여 사용자의 니모닉 단어, 개인 키, 계정 비밀번호 등 민감한 정보를 입력하도록 유도한다.
소셜 미디어 계정 사칭: 트위터, 텔레그램, 디스코드 등 플랫폼에서 '공식 고객 서비스', '유명 KOL', '프로젝트 팀' 등을 사칭하여 가짜 링크나 가짜 이벤트 정보가 포함된 게시물을 게시하여 사용자를 속인다.
가짜 브라우저 확장프로그램 또는 웹사이트: 실제 거래소나 지갑 웹사이트와 극도로 유사한 가짜 웹사이트를 구축하거나 악성 브라우저 확장프로그램을 유도하여, 사용자가 이 페이지에서 정보를 입력하거나 권한을 부여하면 개인 키가 유출된다.
가짜 고객 서비스/기술 지원
텔레그램이나 디스코드 그룹에서 흔히 볼 수 있는 방식으로, '관리자' 또는 '기술 고객 서비스'를 사칭하여 입금 지연, 출금 실패, 지갑 동기화 오류 등의 문제를 해결한다며 개인 키를 요구하거나 특정 주소로 코인을 전송하도록 유도한다.
또한 개인 메시지나 소규모 그룹을 통해 '잃어버린 코인을 찾아줄 수 있다'며 더 많은 자금을 유도하거나 개인 키를 탈취하기도 한다.
SIM 카드 교체(SIM Swap)
공격자가 통신사 고객 서비스를 매수하거나 속여서 피해자의 휴대폰 번호를 자신의 통제 하에 옮기게 한다. 휴대폰 번호가 탈취되면 SMS 인증, 2단계 인증(2FA) 등을 통해 거래소, 지갑, 소셜 계정의 비밀번호를 재설정하여 암호화폐를 탈취할 수 있다.
SIM 스왑은 미국 등지에서 많이 발생하며, 여러 국가에서도 이런 사례가 보고되고 있다.
사회 공학과 악성 채용/헤드헌팅 결합
공격자가 채용 명목으로 목표의 이메일이나 소셜 미디어 계정에 악성 파일이나 링크가 포함된 '채용 초청'을 보낸다. 만약 공격 대상이 암호화폐 회사의 내부 직원이나 핵심 개발자, 또는 다량의 코인을 보유한 '중요 사용자'라면 회사 기반 시설 침투, 개인 키 탈취 등 심각한 결과를 초래할 수 있다.
2022년 액시 인피니티의 Ronin 브리지 보안 사고의 경우, The Block에 따르면 이 공격 사건은 가짜 채용 광고와 관련이 있다. 내부자에 따르면 해커가 링크드인을 통해 액시 인피니티 개발사 Sky Mavis의 직원에게 연락하여 높은 연봉으로 채용되었다고 알렸고, 이 직원이 PDF 형식의 가짜 채용 통지서를 다운로드하면서 해커의 악성 소프트웨어가 Ronin 시스템에 침투했다. 이후 해커는 Ronin의 9개 검증기 중 4개를 장악했고, 마지막으로 Axie DAO의 권한을 이용해 최종적으로 시스템을 장악했다.
가짜 에어드랍/가짜 증정 이벤트
트위터, 텔레그램 등 플랫폼에서 발생하는 가짜 '공식' 이벤트, 예를 들어 'x 코인을 특정 주소로 보내면 2배로 돌려받을 수 있다'는 등의 사기이다.
공격자들은 또한 '화이트리스트 에어드랍', '테스트넷 에어드랍' 등을 미끼로, 사용자가 알 수 없는 링크를 클릭하거나 지갑에 연결하도록 유도하여 개인 키를 탈취하거나 권한을 획득한다.
2020년에는 오바마, 바이든, 버핏, 빌 게이츠 등 미국의 정치인과 기업인 Twitter 계정이 해킹되어, 해커가 계정을 장악하고 '2배 반환' 메시지를 게시하여 사용자들을 속였다. 최근 몇 년 동안 YouTube에서도 엘론 머스크를 사칭한 '2배 반환' 사기가 많이 발생했다.
내부자 침투/퇴사 직원의 악용
일부 암호화폐 회사나 프로젝트 팀의 퇴사 직원, 또는 공격자에 의해 매수된 현직 직원들이 내부 시스템과 운영 프로세스에 대한 이해를 이용하여 사용자 데이터베이스, 개인 키 등을 탈취하거나 무단 거래를 실행한다.
이러한 시나리오에서는 기술적 취약점과 사회 공학이 더욱 긴밀하게 결합되어, 더 큰 규모의 손실을 초래할 수 있다.
악성 '백도어' 또는 변조된 가짜 하드웨어 지갑
공격자들은 eBay, 闲鱼, 텔레그램 그룹 등 전자 상거래/중고거래 플랫폼에서 시장가보다 낮은 가격이나 진품 보증 등의 미끼로 하드웨어 지갑을 판매한다. 실제로는 내부 칩셋이나 펌웨어가 교체되어 있다. 또한 사용자가 중고 기기나 리퍼 기기를 구매할 때, 판매자가 이미 개인 키를 입력해 두어 자금을 빼갈 수 있다.
위의 예시는 빙산의 일각에 불과합니다. 사회공학의 다양성과 유연성으로 인해 암호화폐 분야에서의 파괴력이 특히 두드러집니다. 대부분의 일반 사용자들에게 이러한 공격은 방어하기 어려운 경우가 많습니다.
탐욕과 공포
탐욕은 가장 쉽게 조종될 수 있는 약점입니다. 시장이 극도로 활발할 때 일부 사람들은 편승효과(밴드건 효과)로 인해 갑자기 유명해진 프로젝트에 몰려듭니다. 공포와 불확실성도 사회공학의 일반적인 돌파구입니다. 암호화폐 시장이 격렬하게 요동치거나 프로젝트에 문제가 생길 때 사기꾼들은 "긴급 공지"를 발표하며 프로젝트가 극단적인 위험 상황에 처했다고 주장하며 사용자들이 자금을 소위 안전한 주소로 옮기도록 유도합니다. 많은 초보자들은 손실에 대한 두려움 때문에 냉철한 사고를 유지하기 어려워 이런 공포 분위기에 휩싸이기 쉽습니다.
또한 포모(FOMO) 심리는 암호화폐 생태계에서 어디에나 존재합니다. 다음 불장(Bull market)이나 다음 비트코인을 놓칠까 봐 두려워 사람들은 자금을 급히 투입하고 프로젝트에 참여하지만, 위험과 진위에 대한 기본적인 식별 능력이 부족합니다. 사회공학 공격자들은 기회가 잠깐뿐이며 한번 놓치면 더 이상 수익을 얻을 수 없다는 분위기만 조성하면 일부 투자자들이 스스로 함정에 빠지게 됩니다.
리스크 식별과 예방
사회공학이 방어하기 어려운 이유는 인간의 인지 맹점과 심리적 약점을 겨냥하기 때문입니다. 투자자로서 다음과 같은 핵심 사항에 주의해야 합니다:
보안 의식 제고
개인 키와 니모닉 단어를 함부로 공개하지 마세요. 어떤 경우에도 타인에게 개인 키, 니모닉 단어 또는 민감한 신원 정보를 알려주지 마세요. 진정한 공식 팀은 이런 정보를 요구하는 경우가 거의 없습니다.
"비합리적인 수익 약속"에 주의하세요. "무위험 고수익", "원금의 수배 수익" 등을 주장하는 활동은 거의 확실히 사기일 가능성이 높습니다.
링크와 출처 확인
브라우저 플러그인이나 공식 채널을 통해 웹사이트 주소를 확인하세요. 암호화폐 거래소, 지갑 또는 탈중앙화 애플리케이션(DApp)의 웹사이트인 경우 도메인 이름이 맞는지 반복해서 확인해야 합니다.
출처를 알 수 없는 링크를 함부로 클릭하지 마세요. 상대방이 "에어드랍 혜택" 또는 "공식 보상"이라고 주장하더라도 공식 소셜 미디어나 공식 채널에서 확인해야 합니다.
커뮤니티와 소셜 미디어 검증
공식 계정의 인증 표시, 팔로워 수, 상호 작용 기록을 확인하세요. 알 수 없는 개인 채팅방에 무작정 가입하거나 방 내 링크를 클릭하지 마세요.
"공짜 점심" 정보에 대해서는 의심의 눈초리로 바라보고 경험 많은 투자자나 공식 채널에 문의해 보세요.
건강한 투자 마음가짐 갖기
시장 변동을 이성적으로 바라보고 단기 급등락에 휩싸이지 마세요.
언제나 최악의 상황을 대비하고, "기회를 놓칠까 봐" 위험을 간과하지 마세요.
인간 요인의 영원한 중요성
인간의 본성이 사회공학이 반복적으로 성공할 수 있는 근간입니다. 공격자들은 편승효과, 탐욕, 공포, 불안감, 포모(FOMO) 등의 특성을 겨냥해 온갖 종류의 사기를 설계합니다.
블록체인과 암호화폐 분야의 기술 발전과 비즈니스 모델 확장에 따라 사회공학 수법도 진화할 것입니다. 딥페이크 기술의 성숙으로 인해 가까운 미래에 더 큰 위협이 될 수 있으며, 공격자들이 합성 영상과 오디오를 통해 프로젝트 책임자로 가장하여 실시간으로 피해자와 연결될 수 있습니다. 다차원 사회공학 공격도 업그레이드될 것으로, 공격자들이 여러 소셜 플랫폼을 넘나들며 장기간 잠복하며 정보를 수집한 뒤 정교하게 설계된 감정 조종으로 목표물을 공격할 수 있습니다.
사회공학의 지속적인 존재는 기술이 아무리 발전해도 인간 요인이 시스템의 핵심 구성 요소라는 점을 상기시킵니다. 사회공학의 영향을 완전히 제거하는 것은 현실적으로 어려울 수 있지만, 코드와 사람 모두에 주목한다면 보다 탄력적인 시스템을 구축할 수 있을 것입니다.
