최근 들어 문제가 되는 금융사기는 비단 은행권만 타깃으로 삼지 않는다. '암호화폐'를 빼돌리는 금융 사기가 보다 진화된 형태로 교묘하게 일어나고 있어서다. 디지털 자산 보안 솔루션 전문업체 웁살라시큐리티는 최근 가상자산 월렛사이트를 사칭하는 등의 신종 피싱사기 수법을 분석한 보고서를 발표했다. 암호화폐 피싱 범죄는 어떻게 진화 중이며, 피해를 막기 위해서는 무엇이 필요할까.
메타메스크를 사칭한 피싱 사이트. GDPR(개인정보보호규정) 관련 동의를 받는 것처럼 보이지만, 클릭 시 피싱페이지로 넘어가 개인정보 입력창이 뜬다/사진제공=웁살라시큐리티가상자산 피싱 사이트 문제가 대두된 건 '메타마스크' 피싱 사건이다. 메타마스크는 글로벌 사용자를 두루 보유하고 있는 전자 지갑 사이트인데, 도메인 등을 교묘하게 바꿔 마치 공식 사이트인 양 사기를 치는 수법이다. 피싱 사이트는 개인정보 동의서를 받는 페이지를 두고 '니모닉키'를 입력하게끔 유도한다. 특히 구글 검색 시 함께 뜨는 '구글 애드'에 이 피싱 사이트가 걸려 사용자가 사기 사이트라는 큰 의심을 하지 못한 것도 피해를 키웠다.
웁살라시큐리티는 가상자산피해대응센터(CIRC) 싱가포르팀을 통해 이 수법을 상세 분석했다. 이 범죄조직은 4단계에 걸쳐 피싱 사이트를 바꿔가며 교묘하게 진화했다. 도메인 주소나 호스팅 제공자, 도메인 등록업자를 지속 바꿔나갔다. 또 웹페이지 로딩 속도를 높여 더 그럴듯하게 보이는 치밀함도 보였다. 개인정보 동의서 페이지의 경우 개인정보 제공 '동의'와 '거부' 배너 중 무엇을 눌러도 개인정보를 빼돌리는 페이지가 뜨도록 했다. 만약 사용자가 새 암호와 함께 니모닉키를 입력하면 범죄 집단은 이 사용자의 지갑을 갈취, 그 안에 든 암호화폐를 다른 곳으로 빼돌린다. 웁살라시큐리티 측은 자금 추적 과정을 거쳐 중국 거래소 '픽스트플롯'을 비롯해 출처 불명의 중국 DEX(탈중앙화거래소)를 거쳐 현금화했다는 것을 밝혀냈다. 또 '메타마스크' 외 '레저'와 '코이노미' 지갑을 노린 피싱 사이트도 있다는 것을 알아냈다.
이 같은 사기는 검찰, 국세청 등 정부기관을 사칭한 자금 이체 및 금융권 사칭 방식과 유사하다. 금융권에서 보안카드 번호 전체 또는 여러 개를 요구하지 않는 것처럼 암호화폐 사이트도 니모닉키 전부를 입력하라고 하지 않는다는 것이다. 보안카드 공개를 요구하면 의심하듯이 디지털 지갑에서도 사용자가 피싱 징후를 캐치해야 한다는 게 웁살라시큐리티 측의 설명이다.
패트릭 김 웁살라시큐리티 대표는 "피싱 범죄의 유형에 대해 사용자가 미리 인지하고 있는 것이 중요하다"며 "정부기관과 은행 등은 절대 개인의 금융 거래정보나 금전을 요구하지 않는데 그것이 가상자산 모든 서비스에 그대로 적용된다"라고 설명했다. 이어 "어떤 상황에서도 니모닉키와 같은 금융정보를 요청하면 의심하고 주의할 것"이라고 강조했다.
김 대표는 피싱에 걸려도 그 피해를 최소화하는 방안도 제시했다. 바로 '자산 분산'이다. 그는 "악의적 공격자가 개인 키를 탈취하더라도 서로 다른 가상 월렛에 분산 보관하는 게 피해를 최소화하는 사전 대응 방식"이라며 "하나의 지갑에 모든 가상 자산을 넣고 사용했다가는 이와 같은 피싱 사기를 당할 경우 피해 손실도 치명적일 것"이라고 덧붙였다.
이 시각 인기 뉴스
웁살라시큐리티는 회사의 보안 플랫폼 '센티넬 포털'을 통해 이번 사건과 관련한 침해지표 정보를 누구나 확인할 수 있게 공개했다. 이번 사건 분석에는 이 회사의 자금세탁 추적 솔루션 'CATV'를 활용했다. 범죄에 사용된 블랙리스트 지갑 주소도 TRBD(위협 데이터 베이스)에 저장했다.
