작성자: ChandlerZ, 포어사이트뉴스
보안은 체인과 같아서 가장 약한 고리에 달려 있습니다. 그리고 사람은 암호 시스템의 아킬레스 건입니다. 시장이 여전히 더 복잡한 암호화 보호 메커니즘을 구축하는 데 몰두하고 있는 동안, 공격자들은 이미 지름길을 발견했습니다: 암호를 해독할 필요 없이 암호를 사용하는 사람을 조종하면 됩니다.
직원은 가장 약한 고리이자 가장 간과되는 부분입니다. 다시 말해, 직원은 해커들이 가장 쉽게 침투하고 악용할 수 있는 취약점이며, 기업 보안 투자가 가장 적고 개선 속도가 가장 느린 약점입니다.
블록체인 분석 기업 Chainalysis의 최신 보고서에 따르면, 2024년 북한 해커들은 47건의 복잡한 공격을 수행하여 전 세계 암호화폐 플랫폼에서 13억 달러 상당의 자산을 훼손했으며, 이는 전년 대비 21% 증가한 수치입니다. 더욱 충격적인 것은 2025년 2월 21일 바이비트(Bybit) 거래소가 해킹 공격을 받아 약 15억 달러 상당의 암호화폐 자산이 도난당했다는 것으로, 이는 암호화폐 역사상 최대 규모의 단일 도난 사건입니다.
과거 많은 주요 공격 사건에서 기술적 취약점이 아닌 다른 방식으로 이루어졌습니다. 거래소와 프로젝트 팀이 매년 수십억 달러를 기술 보안에 투자하고 있지만, 이 수학과 코드로 구축된 세계에서 많은 참여자들은 사회공학적 위협을 과소평가하고 있습니다.
사회공학의 본질과 진화
정보 보안 분야에서 사회공학은 독특하고 위험한 공격 수단입니다. 기술적 취약점이나 암호화 알고리즘 결함을 이용해 시스템에 침투하는 것과 달리, 사회공학은 주로 인간의 심리적 약점과 행동 습관을 이용해 피해자를 속이고 조종합니다. 이는 높은 기술 장벽이 필요하지 않지만 매우 심각한 피해를 초래할 수 있습니다.
디지털 시대의 도래는 사회공학에 새로운 도구와 무대를 제공했습니다. 암호화폐 분야에서 이러한 진화가 특히 두드러집니다. 초기 암호화폐 커뮤니티는 주로 기술 애호가와 암호 펑크로 구성되어 경계심과 기술 수준이 높았습니다. 그러나 암호화폐가 점점 대중화되면서 관련 기술에 정통하지 않은 새로운 사용자들이 시장에 유입되었고, 이는 사회공학 공격에 비옥한 토양을 제공했습니다.
또한 거래의 익명성과 불가역성으로 인해 암호화폐는 공격자들이 이윤을 거두기에 이상적인 목표가 되었습니다. 일단 자금이 그들이 통제하는 지갑으로 이체되면 거의 되찾을 수 없습니다.
사회공학이 암호화폐 분야에서 쉽게 성공할 수 있는 것은 주로 인간 의사 결정 과정의 다양한 인지 편향 때문입니다. 확증 편향은 투자자들이 자신의 기대에 부합하는 정보에만 주목하게 만들고, 대중심리는 시장 버블을 유발하며, FOMO(Fear Of Missing Out) 감정은 사람들이 손실에 직면할 때 비합리적인 선택을 하게 합니다. 공격자들은 이러한 심리적 약점을 능숙하게 활용하여 이를 '무기화'합니다.
복잡한 암호화 알고리즘을 해독하려 시도하는 것보다 사회공학 공격을 실행하는 것이 비용이 더 낮고 성공률이 더 높습니다. 정교하게 위조된 피싱 이메일, 겉보기에는 정상적이지만 함정이 숨겨진 채용 초청장 등이 기술적 난제에 직면하는 것보다 더 효과적일 수 있습니다.
일반적인 사회공학 기법
사회공학 공격 기법은 다양하지만, 핵심 논리는 여전히 '목표의 신뢰와 정보를 속여내는 것'에 집중됩니다. 다음은 몇 가지 일반적인 방법에 대한 간단한 설명입니다:
피싱(Phishing)
이메일/문자 메시지 피싱: 거래소, 지갑 서비스 제공업체 또는 기타 신뢰할 수 있는 기관을 사칭하는 링크를 이용하여 사용자가 니모닉 단어, 개인 키, 계정 비밀번호 등의 민감한 정보를 입력하도록 유도합니다.
소셜 미디어 계정 사칭: 트위터, 텔레그램, 디스코드 등의 플랫폼에서 '공식 고객 서비스', '유명 KOL', '프로젝트 팀' 등을 사칭하여 가짜 링크나 이벤트 정보가 포함된 게시물을 게시하여 사용자를 속이고 키 또는 암호화폐를 보내도록 유도합니다.
가짜 브라우저 확장프로그램 또는 웹사이트: 실제 거래소나 지갑 웹사이트와 극도로 유사한 가짜 웹사이트를 구축하거나 악성 브라우저 확장프로그램을 설치하도록 유도하여, 사용자가 이 페이지에서 정보를 입력하거나 권한을 부여하면 개인 키가 유출됩니다.
가짜 고객 서비스/기술 지원 사칭
텔레그램이나 디스코드 그룹에서 '관리자' 또는 '기술 지원 직원'을 사칭하여, 입금 지연, 출금 실패, 지갑 동기화 오류 등의 문제를 해결한다며 개인 키를 제공하거나 특정 주소로 코인을 전송하도록 유도합니다.
또한 개인 메시지나 소규모 그룹을 통해 '잃어버린 코인을 찾아줄 수 있다'며 더 많은 자금을 유도하거나 개인 키를 탈취하기도 합니다.
SIM 카드 교체(SIM Swap)
공격자가 통신사 고객 서비스를 매수하거나 속여서 피해자의 전화번호를 자신의 통제 하에 있는 SIM 카드로 전환합니다. 전화번호가 탈취되면 SMS 인증, 2단계 인증(2FA) 등을 통해 거래소, 지갑, 소셜 계정의 비밀번호를 재설정하고 암호화폐를 탈취할 수 있습니다.
SIM 스왑은 미국 등지에서 많이 발생하며 여러 국가에서도 이런 사례가 보고되고 있습니다.
사회공학과 악성 채용/헤드헌팅 결합
공격자가 채용 명목으로 목표의 이메일이나 소셜 미디어 계정에 악성 파일이나 링크가 포함된 '채용 초청장'을 보냅니다.
공격 대상이 암호화폐 회사의 내부 직원이나 핵심 개발자, 또는 다량의 코인을 보유한 '고액 사용자'인 경우, 이를 통해 회사 기반 시설 침투, 개인 키 탈취 등 심각한 결과를 초래할 수 있습니다.
2022년 액시 인피니티의 로닌 브리지 보안 사고는 The Block에 따르면 가짜 채용 광고와 관련이 있었습니다. 관계자에 따르면 해커가 링크드인을 통해 액시 인피니티 개발사 스카이매비스의 직원에게 연락하여 높은 연봉으로 채용했다고 알렸고, 이 직원이 PDF 형식의 위조된 채용 통지서를 다운로드하면서 해커의 악성 소프트웨어가 로닌 시스템에 침투했다고 합니다. 이후 해커는 로닌의 9개 검증기 중 4개를 장악했고, 마지막으로 철회되지 않은 Axie DAO의 권한을 이용해 최종적으로 시스템을 장악했습니다.
가짜 에어드랍/가짜 증정 이벤트
트위터, 텔레그램 등에서 발견되는 가짜 '공식' 이벤트, 예를 들어 'x 코인을 특정 주소로 보내면 2배로 돌려받을 수 있다'는 등의 사기입니다.
공격자들은 또한 '화이트리스트 에어드랍', '테스트넷 에어드랍' 등을 미끼로 사용자가 알 수 없는 링크를 클릭하거나 지갑에 연결하도록 유도하여 개인 키를 탈취하거나 권한을 획득합니다.
2020년에는 오바마, 바이든, 버핏, 빌 게이츠 등 미국의 정치인과 기업인 다수의 트위터 계정이 해킹되어, 해커가 비트코인 '2배 돌려받기' 사기를 게시했습니다. 최근 몇 년간 유튜브에서도 엘론 머스크를 사칭한 유사한 사기가 많이 발생했습니다.
내부자 침투/퇴사 직원의 악용
일부 암호화폐 회사나 프로젝트 팀의 퇴사 직원, 또는 공격자에 의해 매수된 현직 직원이 내부 시스템과 운영 프로세스에 대한 이해를 이용하여 사용자 데이터베이스, 개인 키 등을 탈취하거나 무단 거래를 실행합니다.
이러한 시나리오에서는 기술적 취약점과 사회공학이 더욱 긴밀하게 결합되어 더 큰 규모의 손실을 초래할 수 있습니다.
악성 '백도어' 또는 변조된 가짜 하드웨어 지갑
공격자들은 이베이, 闲鱼, 텔레그램 그룹 등 전자상거래/중고거래 플랫폼에서 시장가보다 낮은 가격이나 진품 보증 등의 미끼로 하드웨어 지갑을 판매합니다. 실제로는 내부에 칩이나 펌웨어가 교체된 장치입니다. 또한 사용자가 중고 기기나 재생 기기를 무심코 구매할 때, 판매자가 이미 개인 키를 입력해 두어 자금을 빼갈 수 있습니다.
또한 데이터 유출 사건 후 제조사(예: 레저)인 것처럼 위
위의 예시는 빙산의 일각에 불과합니다. 사회공학의 다양성과 유연성으로 인해 암호화폐 분야에서의 파괴력이 특히 두드러집니다. 대부분의 일반 사용자들에게 이러한 공격은 방어하기 어려운 경우가 많습니다.
탐욕과 공포
탐욕은 가장 쉽게 조종될 수 있는 약점입니다. 시장이 극도로 활발할 때 일부 사람들은 편승효과(밴드건 효과)로 인해 갑자기 유명해진 프로젝트에 몰려듭니다. 공포와 불확실성도 사회공학의 일반적인 돌파구입니다. 암호화폐 시장이 격렬하게 요동치거나 프로젝트에 문제가 생길 때 사기꾼들은 "긴급 공지"를 발표하며 프로젝트가 극단적인 위험 상황에 처했다고 주장하며 사용자들이 자금을 소위 안전한 주소로 옮기도록 유도합니다. 많은 초보자들은 손실에 대한 두려움 때문에 냉철한 사고를 유지하기 어려워 이런 공포 분위기에 휩싸이기 쉽습니다.
또한 포모(FOMO) 심리는 암호화폐 생태계에서 어디에나 존재합니다. 다음 불장(Bull market)이나 다음 비트코인을 놓칠까 봐 두려워 사람들은 자금을 급히 투입하고 프로젝트에 참여하지만, 위험과 진위에 대한 기본적인 식별 능력이 부족합니다. 사회공학 공격자들은 단순히 기회가 잠깐뿐이며 한번 놓치면 다시 두 배로 불릴 수 없다는 분위기만 조성해도 일부 투자자들을 함정에 빠뜨릴 수 있습니다.
리스크 식별 및 예방
사회공학이 방어하기 어려운 이유는 인간의 인지 맹점과 심리적 약점을 겨냥하기 때문입니다. 투자자로서 다음과 같은 핵심 사항에 주의해야 합니다:
보안 의식 제고
개인 키와 니모닉 단어를 함부로 공개하지 마세요. 어떤 경우에도 타인에게 개인 키, 니모닉 단어 또는 민감한 신분 정보를 알려주지 마세요. 진정한 공식 팀은 이런 정보를 요구하는 경우가 거의 없습니다.
비현실적인 수익 약속에 주의하세요. "무위험 고수익", "원금 수배 이상 수익" 등을 주장하는 활동은 거의 대부분 사기일 가능성이 높습니다.
링크와 출처 확인
브라우저 플러그인이나 공식 채널을 통해 웹사이트 주소를 확인하세요. 암호화폐 거래소, 지갑 또는 탈중앙화 애플리케이션(DApp)의 웹사이트인 경우 도메인 이름이 맞는지 반복해서 확인해야 합니다.
출처를 알 수 없는 링크를 함부로 클릭하지 마세요. 상대방이 "에어드랍 혜택" 또는 "공식 보상"이라고 주장하더라도 공식 소셜미디어나 공식 채널에서 직접 확인해야 합니다.
커뮤니티와 소셜미디어 검증
공식 계정의 인증 표시, 팔로워 수, 상호작용 기록을 확인하세요. 알 수 없는 개인 채팅방에 무작정 가입하거나 방 내 링크를 클릭하지 마세요.
"공짜 점심" 정보에 대해서는 의심의 눈초리로 바라보고, 경험 많은 투자자나 공식 채널에 문의해 확인해야 합니다.
건강한 투자 마음가짐 갖기
시장 변동을 이성적으로 바라보고, 단기 급등락에 휩싸이지 마세요.
언제나 최악의 상황을 대비해야 하며, "기회를 놓칠까 봐" 걱정하느라 잠재적 리스크를 간과하지 마세요.
인간 요인의 영원한 중요성
인간의 본성이 사회공학이 반복적으로 성공할 수 있는 근간입니다. 공격자들은 편승효과, 탐욕, 공포, 불안감, 포모(FOMO) 등의 특성을 겨냥해 온갖 종류의 사기를 설계합니다.
블록체인과 암호화폐 분야의 기술 발전과 비즈니스 모델 확장에 따라 사회공학 수법도 진화할 것입니다. 딥페이크 기술의 성숙으로 인해 가까운 미래에 더 큰 위협이 될 수 있으며, 공격자들은 합성 영상과 오디오를 통해 프로젝트 책임자로 가장하여 실시간으로 피해자와 연결될 수 있습니다. 다차원 사회공학 기법도 고도화되어, 공격자들이 여러 소셜 플랫폼을 넘나들며 장기간 잠복하며 정보를 수집한 뒤 정교하게 설계된 감정 조종으로 목표물을 공격할 수 있습니다.
사회공학의 지속적인 존재는 기술이 아무리 발전해도 인간 요인이 시스템의 핵심 구성 요소라는 점을 상기시킵니다. 사회공학의 영향을 완전히 제거하기는 어려울 것 같지만, 코드와 사람 모두에 주목한다면 보다 탄력적인 시스템을 구축할 수 있을 것입니다.
