시큐리티팩트
해킹 없이 4600억 증발.. 암호화폐를 노리는 '사회 공학'의 그림자
심리적 조작으로 인간의 신뢰 악용.. 탈취 자금 정교한 자금 세탁으로 빼돌려
댓글 0
기사입력
: 2025.05.21 12:23
[시큐리티팩트=최석윤 기자] 2025년 4월, 암호화폐 시장은 또 한 번의 충격적인 사건으로 들썩였다. 무려 3억3000만 달러(약 3520 BTC, 한화 4600억 원) 상당의 비트코인이 감쪽같이 사라진 것이다. 놀라운 점은 이번 사건이 기술적인 시스템 해킹이 아닌, 인간의 심리를 교묘하게 파고든 '사회 공학(Social Engineering)' 공격으로 발생했다는 점이다. 이는 암호화폐 보안이 단순히 기술적인 방어벽을 넘어, 인간의 취약성을 이해하고 방비하는 것이 얼마나 중요한지 다시금 일깨워주는 경고음이 되고 있다.
20일(현지시각) 트레이딩 뷰는 소셜 엔지니어링의 위력을 극명하게 보여주는 사례를 분석, 보도했다.
고령의 피해자와 정교한 자금 세탁 전술
암호화폐 사기를 적발해 온 익명의 블록체인 조사관 'ZachXBT'의 조사에 따르면, 피해자는 고령의 미국 시민으로 밝혀졌다. 사기꾼들은 피해자와 신뢰를 쌓은 후 전화 통화를 통해 암호화폐 지갑 접근 권한을 넘기도록 유도한 것으로 추정된다. 2017년부터 3000개 이상의 비트코인을 보유하고 있었으며 이전에는 이렇다 할 거래 기록이 없었던 이 피해자는, 2025년 4월 28일 단 한 번의 조작으로 거액의 자산을 잃게 된 것이다.
도난당한 비트코인은 공격 직후 6건 이상의 즉각적인 환전을 거쳐 추적 불가능한 프라이버시 코인인 '모네로(XMR)'로 신속하게 전환되었다. 이 과정에서 XMR 가격이 일시적으로 50% 급등하며 339달러를 기록하기도 했다. 공격자들은 자금 세탁을 위해 '필 체인(Peel Chain)' 기법을 사용했는데, 이는 훔친 자금을 수백 개의 지갑과 바이낸스를 포함한 수많은 거래소 또는 결제 서비스를 통해 추적하기 어려운 작은 단위로 분할하는 방식이다. 상당한 금액이 즉석 거래소와 믹서(Mixer)를 통해 세탁되어 흔적이 더욱 희미해졌다. 일부 비트코인은 이더리움으로 브릿징(Bridging)되어 다양한 DeFi(탈중앙화 금융) 플랫폼에 입금되기도 해 포렌식 추적을 더욱 어렵게 만들었다.
공격자들은 거래소와 OTC(장외거래) 데스크에 미리 등록된 계정을 사용한 것으로 보아, 이번 공격이 매우 치밀하게 계획되었음을 짐작할 수 있다. 다행히 ZachXBT와 바이낸스의 노력으로 약 700만 달러의 도난 자금이 동결되었지만, 대부분의 비트코인은 여전히 실종 상태다. ZachXBT는 북한 라자루스 그룹의 연루 가능성은 배제하고 숙련된 독립 해커들의 소행으로 보고 있으며, 용의자로는 영국에서 활동하는 'X'라는 가명의 인물과 'W0rk'라는 공범이 지목되고 있다. 이들은 도난 사건 이후 디지털 흔적을 모두 삭제한 것으로 알려졌다.
기술 해킹 아닌 '인간'을 노리는 사회 공학
이번 사건은 소프트웨어 취약점을 악용하는 일반적인 사이버 공격과는 근본적으로 다르다. 사회 공학은 심리적 조작에 의존하여 인간의 신뢰를 악용하는 것이 핵심이다. 사기꾼들은 신뢰할 수 있는 주체인 척하며 서서히 피해자와 신뢰를 쌓아간 후, 전화 통화로 민감한 정보를 공유하도록 설득했다. 이는 시스템 취약점이 아닌, 인간의 본성적인 신뢰와 취약점을 파고드는 전형적인 수법이다.
'사회 공학'은 사이버 범죄자들이 인간의 심리를 악용하기 위해 사용하는 교묘한 조작 기법이다. 이들은 사용자의 지갑에 접근하거나 보안을 위협하는 행위를 수행하기 위해 사용자의 기밀 정보를 유출하도록 속인다. 시스템 취약점을 노리는 기존 해킹과는 달리, 사회 공학은 신뢰, 두려움, 긴박감, 호기심과 같은 인간의 약점을 악용한다.
범죄자들이 피해자를 설득하고 계획을 실행하는 데 사용하는 일반적인 심리적 전술은 다음과 같다.
가짜 권한 사용: 공격자는 법 집행 기관이나 기술 지원 담당자 등 신뢰할 수 있는 인물을 사칭하여 피해자에게 원하는 정보를 공개하도록 압력을 가한다.
긴박감 조성: 피싱 이메일이나 사기 전화에서 자주 사용되는 전술로, '손실'을 방지하거나 보상을 청구하기 위해 즉각적인 조치를 요구한다.
호혜성 본능 이용: 호의를 돌려주고자 하는 본능을 이용하여 가짜 공수품이나 보상과 같은 선물로 피해자를 유혹한다.
충동적 행동 유발: 희소성을 내세워 가짜 기간 한정 특가 등을 제시하여 충동적 행동을 유발함으로써 의사결정을 촉진한다.
무리 심리: 다른 사람들이 이미 이익을 얻었다고 주장하며 피해자도 따라 하도록 부추기는 사회적 증거(Social Proof) 또는 무리 심리를 이용한다.
이러한 심리적 전략은 거래 취소 불가능하고 플랫폼이 분산되어 있어 손실된 자금을 되찾기 어려운 암호화폐 분야 사용자에게 특히 큰 위협이 된다. 심지어 '크립토 드레인 서비스(DaaS)'는 가짜 DEX 웹사이트, 지갑 메시지, 텔레그램 지원 봇 등 완벽한 사회 공학 툴킷(도구들을 모아놓은 것)을 제공하여 코딩 지식 없이도 피싱 캠페인을 실행할 수 있도록 돕는다. 이는 사회 공학 공격이 얼마나 전문화되고 쉬워지고 있는지를 보여주는 대목이다.
암호화폐 사용자가 사회 공학에 특히 취약한 이유
암호화폐 사용자는 기술적 문제와 행동적 문제가 복합적으로 작용하여 사회 공학적 공격에 특히 취약하다.
거래 불가역성: 암호화폐 거래는 한 번 확인되면 최종적으로 확정된다. 잘못된 이체나 사기성 출금을 되돌릴 수 있는 중앙 기관이나 지원팀이 없다는 점을 사회 공학자는 악용하여 피해자를 속여 자금을 보내도록 하거나 악의적인 지갑 권한을 승인하게 한다.
익명성과 구제책 부족: 탈중앙화 금융(DeFi)은 익명성을 기반으로 번성하지만, 이는 사기꾼들에게도 유리하게 작용한다. 공격자는 가명과 가짜 프로필 뒤에 숨어 지원팀, 인플루언서 또는 개발자를 사칭하는 경우가 많다. 특히 국경을 넘나드는 사고 발생 시 피해자는 법적 또는 제도적 지원을 거의 또는 전혀 받을 수 없는 경우가 많다.
고가치 대상: 암호화폐 고래, NFT 수집가, DeFi 프로젝트 설립자 등 막대한 자금을 관리하는 이들은 사기 행위의 주요 표적이 된다. 사회 공학자는 이러한 고가치 사용자를 조종하기 위해 가짜 구인 제안, 투자 유치, 긴급 지원 전화 등 정교한 사기 수법을 사용하는 경우가 많다.
온라인 커뮤니티 신뢰에 대한 과도한 의존: 암호화폐 문화는 탈중앙화와 동료 협업을 강조하지만, 이는 역설적으로 잘못된 신뢰감을 조성할 수 있다. 사기꾼들은 디스코드, 텔레그램, 그리고 탈중앙화 자율 조직(DAO)과 같은 개방적인 커뮤니티를 악용하여 공격하기 전에 신뢰를 확보한다.
이러한 요소들이 합쳐지면서 암호화폐 사용자는 기존 금융 서비스 사용자보다 인간 중심의 공격에 훨씬 더 취약해진다. 기술적으로는 어렵지만 보상이 높은 사회 공학은 신뢰, 감정, 그리고 일상적인 행동을 악용하여 단 몇 초 만에 자산을 훔칠 수 있다.
주요 암호화폐 사회 공학 공격 사례, 로닌 네트워크 해킹
실제로 암호화폐 업계에서는 인간의 약점을 악용하는 사회 공학 사기가 여러 차례 발생했다. 대표적인 사례가 바로 로닌 네트워크(Ronin Network) 공격이다.
2022년 3월, 인기 블록체인 게임 Axie Infinity를 구동하는 로닌 네트워크는 6억 달러(약 8300억 원) 규모의 해킹 공격을 받았다. 조사 결과, 이 해킹은 놀랍게도 기술적 취약점이 아닌 사회 공학 공격에서 비롯된 것으로 밝혀졌다. 북한의 해킹 그룹으로 알려진 라자루스 그룹은 가짜 회사로 위장하여 로닌 네트워크의 수석 엔지니어에게 채용 공고 PDF 파일을 보냈다. 엔지니어가 이 파일을 열자, 검증 노드를 손상시키는 스파이웨어가 설치되었다. 이 침해로 공격자는 며칠 동안 탐지되지 않은 채 대규모 출금을 승인할 수 있었다.
이번 3억3000만 달러 비트코인 도난 사건은 암호화폐 보안이 단순히 강력한 비밀번호나 하드웨어 지갑 사용을 넘어, 심리적 위협을 인식하고 이에 대비하는 것까지 포함해야 함을 강조한다. 사기꾼들은 피싱, 사칭 공격, 가짜 에어드랍, 악성 다운로드, 허니트랩, 가짜 구인 공고 등 맞춤형 사회 공학 전략을 사용하여 의심하지 않는 암호화폐 사용자를 속이고 악용한다.
암호화폐 사용자는 자산을 보호하기 위해 이러한 다양한 전략을 이해하는 것이 매우 중요하다. 항상 경계심을 갖고, 정보의 출처를 꼼꼼히 확인하며, 원치 않는 제안에 대해 회의적인 태도를 취하는 것이 사회 공학적 공격으로 인한 위험을 완화하는 핵심적인 방법이다. 아무리 견고한 기술적 방어 체계도 인간이라는 가장 약한 고리가 뚫리면 무용지물이 될 수 있다는 사실을 암호화폐 커뮤니티는 다시금 명심해야 할 때다.
