환상과 퍼즐: 암호화폐 세계의 사회 공학과 인간 본성 게임

보안은 마치 사슬과 같아서 가장 약한 고리에 달려 있습니다. 그리고 인간은 암호화 시스템의 아킬레스건입니다. 시장은 여전히 더 복잡한 암호화 보호 메커니즘을 구축하는 데 집착하고 있지만, 공격자들은 이미 지름길을 찾았습니다. 비밀번호를 해독하는 대신 비밀번호를 사용하는 사람만 조작하면 되는 것입니다.

사람은 가장 약한 고리이자 가장 가치가 낮은 고리입니다. 즉, 해커가 뚫고 악용하기 가장 쉬운 취약점은 바로 사람이고, 기업이 보안에 가장 적게 투자하고 가장 느리게 개선하는 취약점이기도 합니다.

블록체인 분석 기업 Chainalysis의 최신 보고서에 따르면, 2024년에 북한 해커들은 정교한 공격 47건을 감행하여 글로벌 암호화폐 플랫폼에서 13억 달러 상당의 자산을 훔쳤으며, 이는 전년 대비 21% 증가한 수치입니다. 더욱 충격적인 것은 2025년 2월 21일 Bybit 거래소가 해킹을 당해 약 15억 달러 상당의 암호화폐 자산이 도난당했다는 것입니다. 이는 암호화폐 역사상 단일 도난 사건으로는 새로운 기록을 세웠습니다.

과거 주요 공격의 대부분은 전통적인 기술적 취약성을 이용해 이루어진 것이 아니었습니다. 거래소와 프로젝트 소유자들은 매년 수십억 달러를 기술적 보호에 투자하지만, 수학과 코드로 만들어진 듯한 이 세상에서 많은 참여자들은 사회 공학이 초래하는 위협을 과소평가하는 경우가 많습니다.

사회공학의 본질과 진화

정보 보안 분야에서 사회 공학은 항상 독특하고 위험한 공격 방법이었습니다. 기술적 허점이나 암호화 알고리즘의 결함을 통해 시스템에 침입하는 것과 달리, 사회 공학은 주로 인간의 심리적 약점과 행동 습관을 이용하여 피해자를 속이고 조종합니다. 매우 높은 기술적 한계를 요구하지는 않지만, 종종 매우 심각한 손실을 초래할 수 있습니다.

디지털 시대의 도래는 사회 공학을 위한 새로운 도구와 단계를 제공했습니다. 이런 진화가 가장 두드러지는 곳은 바로 암호화폐 분야입니다. 초기 암호 자산 커뮤니티는 주로 기술 애호가와 암호펑크주의자들로 구성되었는데, 이들은 일반적으로 경계심이 강하고 일정 수준의 기술적 이해력을 갖추고 있었습니다. 하지만 암호 자산이 점점 더 인기를 얻으면서 관련 기술에 능숙하지 않은 신규 사용자가 시장에 진입하는 경우가 점점 늘어나고 있으며, 이로 인해 사회 공학적 공격에 좋은 환경이 조성되고 있습니다.

반면, 익명성이 높고 거래가 취소 불가능한 특성 때문에 암호 자산은 공격자가 수익을 올리는 이상적인 대상이 됩니다. 자금이 그들이 관리하는 지갑으로 이체되면 이를 회수하는 것은 거의 불가능합니다.

사회 공학이 암호화 분야에서 큰 성공을 거둘 수 있는 이유는 대체로 인간의 의사결정에 있어서 다양한 인지적 편향이 작용하기 때문입니다. 확인 편향으로 인해 투자자는 자신의 기대와 일치하는 정보에만 주의를 기울이고, 무리 심리는 쉽게 시장 거품으로 이어지고, FOMO(공포에 대한 두려움) 감정은 사람들이 손실에 직면했을 때 비이성적인 선택을 하게 만듭니다. 공격자는 이러한 심리적 약점을 교묘히 이용해 교묘하게 "무기화"합니다.

복잡한 암호화 알고리즘을 해독하려고 시도하는 것에 비해 사회 공학적 공격을 시도하는 것은 비용이 저렴하고 성공률이 더 높습니다. 겉보기에 합법적이지만 사실은 함정인 신중하게 만들어진 피싱 이메일이나 취업 초대장은 기술적 어려움에 정면으로 맞서는 것보다 더 효과적인 경우가 많습니다.

일반적인 사회 공학 기술

사회공학적 공격 방법에는 여러 유형이 있지만 핵심 논리는 여전히 "대상의 신뢰와 정보를 속이는 것"입니다. 다음은 몇 가지 일반적인 방법에 대한 간략한 설명입니다.

피싱

이메일/SMS 피싱: 거래소, 지갑 서비스 제공업체 또는 기타 신뢰할 수 있는 기관으로 위장한 링크를 사용하여 사용자가 시드 문구, 개인 키, 계정 비밀번호 등의 민감한 정보를 입력하도록 속이는 수법입니다.

소셜 플랫폼 계정 사칭: 예를 들어 Twitter, Telegram, Discord 등의 플랫폼에서 "공식 고객 서비스", "유명한 KOL" 또는 "프로젝트 파티"를 사칭하거나, 가짜 링크 또는 가짜 이벤트 정보가 있는 게시물을 게시하거나, 사용자를 속여 키를 클릭 및 입력하게 하거나 암호화폐를 보내는 것입니다.

브라우저 확장 프로그램 또는 가짜 웹사이트: 실제 거래소 또는 지갑 웹사이트와 매우 유사한 가짜 웹사이트를 구축하거나 악성 브라우저 확장 프로그램을 설치하도록 유도합니다. 사용자가 이러한 페이지에 들어가거나 권한을 부여하면 키가 유출됩니다.

가짜 고객 서비스/기술 지원

Telegram이나 Discord 그룹에서 누군가가 "관리자"나 "기술 고객 서비스"를 가장하고 입금 실패, 출금 실패, 지갑 동기화 오류 등의 문제를 해결해 준다는 명목으로 사용자에게 개인 키를 넘기거나 지정된 주소로 코인을 이체하도록 안내하는 일이 흔합니다.

가짜 고객 서비스/기술 지원

또한 이들은 개인 메시지나 소규모 그룹을 통해 피해자를 유인하여 "잃어버린 동전을 찾는 데 도움을 줄 수 있다"고 거짓 주장을 하지만, 실제로는 더 많은 자금을 유인하거나 열쇠를 얻으려고 합니다.

SIM 스왑

공격자는 통신사의 고객 서비스 담당자에게 뇌물을 주거나 사기를 저질러 피해자의 휴대전화 번호가 백그라운드에서 공격자에게 전송되도록 합니다. 휴대폰 번호가 도난당하면 공격자는 SMS 인증, 2단계 인증(2FA) 등을 통해 거래소, 지갑 또는 소셜 계정의 비밀번호를 재설정하여 암호화폐 자산을 훔칠 수 있습니다.

SIM 스왑은 미국 및 기타 지역에서 더 자주 발생하며, 이와 유사한 사례도 많은 국가에서 발생했습니다.

악의적인 채용/헤드헌팅과 결합된 사회 공학

공격자는 채용을 구실로 악성 파일이나 링크가 포함된 "채용 초대장"을 대상의 이메일이나 소셜 미디어 계정으로 보내, 대상을 속여 트로이 목마를 다운로드하고 실행하도록 합니다.

공격 대상이 암호화폐 회사의 내부 직원이나 핵심 개발자, 혹은 대량의 코인을 보유한 '헤비 유저'일 경우, 회사 인프라가 침입당하고 키가 도난당하는 등 심각한 결과가 초래될 수 있습니다.

2022년 Axie Infinity의 Ronin 브릿지 보안 사건. The Block에 따르면, 이 공격은 가짜 구인 광고와 관련이 있었습니다. 사안에 정통한 관계자에 따르면, 해커는 LinkedIn을 통해 Axie Infinity 개발자 Sky Mavis의 직원에게 연락했으며, 몇 차례의 면접 끝에 높은 급여를 받고 채용되었다는 말을 들었다고 합니다. 그 직원은 PDF 문서로 제시된 위조된 수락서를 다운로드했고, 이로 인해 해커 소프트웨어가 Ronin의 시스템에 침투하여 Ronin 네트워크의 9개 검증자 중 4개를 해킹하여 장악했고, 검증자 중 한 명만 완전한 통제권을 잃었습니다. 그런 다음 해커는 권한이 취소되지 않은 Axie DAO를 장악하여 최종 침입을 달성했습니다.

가짜 에어드랍/가짜 코인 증정

트위터나 텔레그램 등의 플랫폼에 나타나는 "특정 주소로 x개의 코인을 이체하기만 하면 원금을 두 배로 돌려받을 수 있습니다"와 같은 가짜 "공식" 활동은 실제로는 사기입니다.

공격자는 "화이트리스트 에어드랍"과 "테스트넷 에어드랍"이라는 이름을 사용하여 사용자를 속여 알 수 없는 링크를 클릭하거나 피싱 웹사이트 지갑에 연결하도록 한 다음 키나 권한을 제공하도록 속여 코인을 훔치는 경우가 많습니다.

2020년 오바마, 바이든, 버핏, 빌 게이츠를 포함한 많은 미국 정치 및 비즈니스 유명인과 많은 유명 기업의 소셜 미디어 트위터 계정이 도난당했습니다. 해커는 비밀번호를 훔쳐 계정을 인수한 다음 메시지를 게시하여 이중 반환을 미끼로 사용하여 사용자가 지정된 계정 주소 링크로 암호화폐 자금을 보내도록 했습니다. 최근 몇 년 동안 유튜브에서는 머스크를 사칭한 '이중 리턴' 사기가 여전히 많이 발생합니다.

내부 직원 침투/이탈 직원 업무 사례

암호화폐 회사나 프로젝트 팀의 전직 직원, 또는 공격자로부터 뇌물을 받은 현직 직원 중 일부는 내부 시스템과 운영 절차에 대한 지식을 이용해 사용자 데이터베이스, 개인 키를 훔치거나 무단 거래를 실행합니다.

이런 종류의 시나리오에서는 기술적 취약성이 사회 공학과 밀접하게 결합되어 대규모 손실을 초래하는 경우가 많습니다.

"백도어"가 이식되었거나 변조된 가짜 하드웨어 지갑

공격자는 하드웨어 지갑을 eBay, Xianyu, Telegram 그룹 또는 기타 전자상거래/중고 거래 플랫폼에서 시장 가격보다 낮은 가격으로 판매하거나 진위성 보장과 같은 속임수를 사용합니다. 사실, 장치 내부의 칩이나 펌웨어가 교체되었습니다. 일부 사용자는 판매자가 개인 키를 사전 수입한 재생품 또는 중고 전화기를 실수로 구매할 수도 있습니다. 구매자가 자금을 입금하면 공격자는 동일한 개인 키를 사용하여 언제든지 인출할 수 있습니다.

게다가 데이터 침해 이후 일부 사용자는 무료 교체 장치나 제조사(예: Ledger)로 위장한 보안 업그레이드 장치를 받았고, 패키지에는 새로운 니모닉 카드와 사용 설명서도 들어있었습니다. 사용자가 사전 설정된 니모닉을 사용하거나 원본 니모닉을 가짜 장치로 마이그레이션하면 공격자는 지갑의 자산에 대한 전체 액세스 권한을 얻게 됩니다.

위의 예는 빙산의 일각일 뿐입니다. 소셜 엔지니어링의 다양성과 유연성은 특히 암호화폐 분야에서 파괴적입니다. 일반 사용자의 경우 이러한 공격을 방어하는 것은 쉽지 않습니다.

탐욕과 두려움

탐욕은 항상 가장 쉽게 조종되는 약점이다. 시장이 극도로 활발할 때, 일부 사람들은 무리 효과로 인해 갑자기 인기를 얻은 프로젝트에 서둘러 투자합니다. 두려움과 불확실성은 사회 공학에서도 흔히 발견되는 돌파구입니다. 암호화폐가 심각한 변동성을 겪거나 프로젝트에 문제가 생기면 사기꾼은 프로젝트가 극심한 위험에 처해 있다는 "긴급 공지"를 발행해 사용자들에게 소위 안전한 주소로 재빨리 자금을 이체하도록 유도합니다. 많은 초보자들은 손실에 대한 두려움 때문에 명확하게 생각하는 데 어려움을 겪고 종종 이러한 공황 상태에 쉽게 휩쓸리곤 합니다.

게다가 FOMO(공포심)에 대한 사고방식은 암호화폐 생태계에서 널리 퍼져 있습니다. 다음의 강세장이나 비트코인을 놓칠까봐 두려워하는 마음에 사람들은 서둘러 돈을 투자하고 프로젝트에 참여하지만, 그들에게는 위험과 진실성을 구별하는 기본적인 능력이 부족합니다. 사회공학적 공격자는 기회가 덧없고, 기회를 놓치면 돈을 두 배로 늘릴 가능성이 없다는 분위기를 조성하기만 하면 되는데, 이는 일부 투자자가 함정에 빠지기에 충분합니다.

위험 식별 및 예방

사회공학이 예방하기 어려운 이유는 사람들의 인지적 맹점과 심리적 약점을 표적으로 삼기 때문입니다. 투자자로서 다음의 핵심 사항에 주의해야 합니다.

안전의식을 높이다

개인 키와 니모닉을 마음대로 공개하지 마세요. 어떠한 상황에서도 다른 사람을 신뢰하여 개인 키, 니모닉 또는 민감한 신원 정보를 공개해서는 안 됩니다. 실제로 공식적인 팀이라면 개인 채팅을 통해 이런 종류의 정보를 요청하는 일은 거의 없을 것입니다.

"부당한 이익 약속"에 주의하세요. "위험 0%, 높은 수익률" 또는 "원금의 몇 배에 달하는 수익률"을 주장하는 모든 활동은 사기일 가능성이 큽니다.

링크 및 소스 확인

브라우저 플러그인이나 공식 채널을 사용하여 URL을 확인하세요. 암호화폐 거래소, 지갑 또는 분산형 애플리케이션(DApp) 웹사이트의 경우 도메인 이름이 올바른지 다시 한 번 확인해야 합니다.

알 수 없는 출처의 링크는 클릭하지 마세요. 상대방이 "에어드랍 혜택"이나 "공식 보상"이라고 주장하는 경우, 최대한 빨리 정기적인 소셜 미디어나 공식 채널을 통해 검증하시기 바랍니다.

커뮤니티 및 소셜 미디어 스크리닝에 집중

공식 계정의 인증마크, 팔로워 수, 상호작용 기록을 확인하세요. 무작정 익숙하지 않은 개인 채팅 그룹을 추가하거나, 그룹 내의 알려지지 않은 링크를 클릭하지 마세요.

"무료 점심" 정보에 대해서는 회의적인 태도를 취하고, 더 자세히 읽고, 더 많은 질문을 하고, 경험이 풍부한 투자자나 공식 채널을 통해 확인하세요.

건강한 투자 사고방식을 개발하세요

시장 변동을 합리적으로 바라보고 단기적인 급등이나 폭락에 휘말리지 않도록 주의하세요.

항상 최악의 상황에 대비하고 "놓칠까 봐" 잠재적 위험을 무시하지 마세요.

인간 요소의 지속적인 중요성

인간의 본성은 사회 공학이 반복적으로 성공할 수 있는 기반입니다. 공격자는 무리 심리, 탐욕, 두려움, 불안, FOMO(놓치는 것에 대한 두려움)와 같은 특성을 표적으로 삼아 온갖 종류의 사기를 설계합니다.

블록체인과 암호화 분야의 기술 반복과 비즈니스 모델이 계속 확장됨에 따라 사회 공학적 방법도 그에 따라 발전할 것입니다. 딥페이크 기술의 성숙은 가까운 미래에 더 큰 위협이 될 수 있습니다. 공격자는 합성 비디오와 오디오를 사용하여 프로젝트 리더를 사실적으로 가장하고 피해자와 실시간으로 연결할 수 있습니다. 다차원적 사회 공학도 업그레이드될 것입니다. 공격자는 여러 소셜 플랫폼에 숨어서 오랫동안 정보를 수집한 다음 신중하게 설계된 감정 조작을 통해 타겟을 공격할 수 있습니다.

사회 공학이 계속해서 존재한다는 것은 기술이 아무리 발전하더라도 인간적인 요소는 여전히 시스템의 핵심 구성 요소라는 사실을 일깨워줍니다. 사회 공학의 영향을 완전히 없애는 것은 비현실적일 수 있으며, 코드와 사람 모두에 주의를 기울이는 경우에만 우리는 더욱 회복력이 강한 시스템을 구축하는 데 도움이 될 수 있습니다.