
AI 얼굴 스와핑, 플러그인 사기, 두 건의 보안 사고로 사용자 손실 천만 위안 초과
글: 타루오 뉴스
보안 사고는 전통 금융권에서도 흔히 발생하지만, 마치 어두운 숲과 같은 익명의 암호화폐 세계에서는 더욱 일상적인 존재다.
자료에 따르면 지난 5월에만 암호화폐 업계에서 37건의 주요 보안 사고가 발생했으며, 해킹 공격, 피싱 사기 및 러그풀(Rug Pull)로 인한 총 손실액은 1.54억 달러에 달해 4월 대비 약 52.5% 증가했다.
지난 6월 3일에도 두 건의 보안 사고가 다시 발생했는데, 다른 사건들과 약간 차이점은 이 두 사건 모두 대형 거래소와 관련되어 있었고 그 과정 또한 다소 기이했으며, 이야기의 결말 역시 누군가 기뻐하고 또 누군가는 슬퍼하는 상황이었다.
6월 3일, X 플랫폼에서 'Nakamao'라는 온라인 이름을 사용하는 한 사용자가 게시한 장문의 글이 확산되기 시작했다. 그는 자신이 암호화폐 커뮤니티의 희생자가 되었으며, 바이낸스 계정 내 100만 달러가 순식간에 사라졌다고 밝혔다. 그의 진술을 통해 연쇄적인 해커들의 자산 탈취 사건이 서서히 드러났다.
5월 24일, Nakamao는 근무 중이었으며 모든 통신 장비를 소지하고 있었지만, 이러한 완벽하게 보호된 상황에서도 해커는 바이낸스 계정 비밀번호나 2차 인증(2FA) 없이도 계정 내 모든 자금을 대량 매수 거래를 통해 탈취해갔다.

대량 매수 거래란 유동성이 부족한 거래쌍에서 대규모 거래를 수행하며, 해커가 보유한 코인을 던지고 이를 구매자가 대량으로 매수하여 결국 해커는 안정적인 자산이나 스테이블코인을 획득하고 구매자는 저가의 알트코인만 남게 되는 방식이다. 이런 형태의 탈취는 거래소에서 흔히 볼 수 있는데, 2022년 FTX는 3commas API KEY 유출로 인해 600만 달러 규모의 대량 매수 탈취 사건을 겪었으며 당시 SBF는 자금력을 동원해 피해를 보전한 바 있다. 이후 바이낸스에서도 유사한 대규모 대량 매수 거래 사례가 있었다. 그러나 이 방법의 문제점은 리스크 관리가 미흡한 거래소의 경우 단순한 정상 거래처럼 보여 이상 징후를 포착하기 어렵다는 것이다.
이번 사건에서는 QTUM/BTC, DASH/BTC, PYR/BTC, ENA/USDC, NEO/USDC 거래쌍이 선택되었으며, 해커는 사용자의 대량 자금을 이용해 가격을 20% 이상 급등시켰다. 해커의 모든 조작 과정에서 사용자는 전혀 인지하지 못했으며, 약 1시간 후 계정을 확인했을 때야 비로소 이상을 발견했다.
보안 회사의 분석 결과에 따르면, 해커는 웹 브라우저 쿠키를 탈취해 사용자 계정을 조작한 것으로 밝혀졌다. 쉽게 말해 웹 브라우저에 저장된 단말기 데이터를 악용한 것이다. 예를 들어 인터넷에서 특정 사이트에 접속할 때 이전 로그인 정보가 남아 있어 별도의 아이디와 비밀번호 없이 자동으로 로그인되는 현상을 생각하면 된다.
이 지점까지 보면 단순히 사용자의 부주의로 인한 사건으로 여겨질 수 있지만, 이후 상황은 더욱 기묘해진다. 자산이 탈취된 후 Nakamao는 즉시 고객센터뿐 아니라 바이낸스 공동창업자 허이(何一)에게도 연락해 UID를 보안팀에 제공하며 신속히 해커의 자금을 동결해줄 것을 요청했다. 그러나 바이낸스 직원은 무려 하루가 지난 후에야 Kucoin과 Gate에 통보했고, 해커의 자금은 이미 사라진 상태였다. 더욱이 해커는 여러 계정을 분산시키지 않고 단일 계정으로 모든 자금을 바이낸스에서 성공적으로 인출했다. 이 전체 과정에서 사용자는 어떠한 보안 경고도 받지 못했으며, 오히려 대량 거래로 인해 다음 날 바이낸스로부터 현물 마켓 메이커 초대 메일까지 받았다.
사후 분석 과정에서 평범한 크롬 확장 프로그램 'Aggr'이 Nakamao의 눈에 들어왔다. 이 플러그인은 시세 정보 사이트에서 사용하는 도구였으며, 피해자는 해외 KOL들이 수개월간 홍보한 것을 보고 필요성을 느껴 설치했다고 설명했다.
간단히 설명하자면, 확장 프로그램은 다양한 작업을 수행할 수 있으며, 이론적으로 악성 확장을 통해 거래 계정에 로그인하거나 사용자 계정 정보에 접근해 거래를 실행하고, 자금 인출 및 계정 설정 변경까지 가능하다. 핵심적으로는 이러한 플러그인이 넓은 권한을 가지며, 네트워크 요청 조작, 브라우저 저장소 접근, 클립보드 조작 등의 기능을 수행할 수 있기 때문이다.
플러그인에 문제가 있음을 깨닫고 나서 Nakamao는 즉시 KOL에게 문의하며 해당 플러그인 사용 중지를 당부했다. 그런데 예상치 못하게 이 일이 바로 바이낸스로 돌아왔다. Nakamao의 초기 주장에 따르면, 바이낸스는 이미 이 플러그인의 문제점을 알고 있었으며, 올해 3월에도 유사한 사건이 발생했고, 바이낸스는 이후 해커를 추적했으나, 수사를 방해하지 않기 위해 제품 사용 중단을 알리지 않았으며, KOL에게도 계속해서 해커와 연락을 유지하도록 유도했다. 이 과정에서 Nakamao가 다음 피해자가 된 것이다.
쿠키만으로 로그인해 거래를 수행할 수 있다는 점에서 바이낸스의 시스템에도 문제가 있음은 분명하나, 사건 자체는 사용자의 부주의에서 비롯된 것이기도 해 책임 소재를 따지기 어려운 상황이다.
예상대로 바이낸스의 후속 대응은 시장에서 큰 논란을 불러일으켰다. 공식 계정을 통해 이번 사건의 원인을 해킹 공격이라고 설명하면서 AGGR 플러그인에 대해선 몰랐다고 밝힌 가운데, 한 위챗 그룹에서 허이는 "이건 사용자 본인 컴퓨터가 해킹당한 것이므로 신이라도 살릴 수 없으며, 바이낸스는 사용자 기기 감염에 대해 보상할 수 없다"고 언급했다.

바이낸스의 대응에 대해 Nakamao는 받아들일 수 없다고 판단하며, 바이낸스가 리스크 관리 소홀을 했고, KOL이 명확하게 바이낸스 팀에 플러그인 문제를 제기했음에도 불구하고 이를 묵살한 책임이 있다고 주장했다. 여론이 계속 확산되자 바이낸스는 악성 플러그인을 신고한 사용자에게 보상금을 지급하겠다고 재차 밝혔다.
사건이 여기서 마무리될 줄 알았지만, 흥미롭게도 6월 5일, 상황이 반전된다. Nakamao는 다시 X 플랫폼에 글을 올려 바이낸스에 공개 사과를 전하며, 자신과 바이낸스 간 정보 차이와 주관적 오해가 있었다고 인정했다. 실제로 바이낸스는 플러그인 문제를 미리 알지 못했으며, aggr.trade 도메인을 처음 인지한 것도 3월이 아닌 5월 12일이었다고 밝혔다. 또한 KOL도 바이낸스의 첩자가 아니었으며, KOL과 바이낸스의 소통은 플러그인보다는 계정 문제에 관한 것이었다고 해명했다.
이 주장의 진위 여부를 떠나, 태도가 180도 바뀌어 실망의 목소리에서 공개 사과로 전환된 것은 바이낸스가 분명히 어떤 형태로든 보상을 했음을 시사한다. 다만 정확한 보상 금액은 알려지지 않았다.

반면, 6월 3일에는 바이낸스 외에도 OKX도 영향을 받았다. 한 OKX 사용자가 커뮤니티에 자신의 계정이 AI 얼굴 스왑 기술로 탈취당했으며, 계정 내 200만 달러가 인출되었다고 주장했다. 이 사건은 5월 초 발생했는데, 해당 사용자는 개인 정보 유출과 무관하며, 해커가 이메일 계정에서 비밀번호 찾기를 클릭한 후 위조된 신분증과 AI 생성 영상으로 인증을 우회해 휴대폰 번호, 이메일, 구글 인증기를 교체한 후 24시간 내 모든 자산을 탈취했다고 설명했다.
영상은 확인되지 않았지만, 사용자의 설명을 종합하면 해당 AI 합성 영상은 매우 거칠었음에도 불구하고 OKX의 보안 시스템을 뚫어냈다. 따라서 사용자는 OKX도 책임이 있다며 전액 보상을 요구했다. 하지만 세부적으로 분석해보면 범행자는 반드시 해당 사용자를 잘 아는 사람으로, 사용자의 습관과 계정 잔고를 정확히 알고 있었으며, 친숙한 사람의 소행일 가능성이 높다. 실제로 사용자 스스로도 친구가 항상 곁에 있었다고 언급했다. 일반적인 상황에서 OKX는 이러한 사례에 대해 보상하지 않는다. 현재 이 사용자는 경찰에 신고를 접수하고 법적 절차를 통해 자금 회수를 시도하고 있다.
이 두 사건에 대해 암호화폐 커뮤니티는 광범위한 논의를 진행했다. 물론 보안 측면에서 많은 이들이 개인 지갑(self-custody wallet)을 주장하며 자산에 대한 완전한 통제권을 강조하지만, 거래소가 개인보다는 여전히 더 안전하다는 점을 부정할 수 없다. 핵심은 거래소가 제3의 연락처로서 직접 소통이 가능하다는 점이다. 결과 여부를 떠나 최소한 조사에 개입할 수 있으며, 적절한 소통을 통해 앞서 언급한 피해자처럼 보상을 받을 가능성도 있다. 반면 개인 지갑이 해킹당할 경우 거의 모든 보호 장치가 사라진다.
하지만 현재 거래소의 보안 강화는 시급한 과제다. 대형 거래 플랫폼은 대부분의 사용자 자산을 관리하고 있으며, 암호화 자산은 회수가 어렵기 때문에 보안은 더욱 중요해져야 한다. 전통 금융에서는 거의 모든 로그인 시마다 비밀번호를 재입력해야 하며, 송금 시 추가적인 인증 절차를 거친다. 따라서 커뮤니티는 거래 플랫폼이 비밀번호 잠금 기능을 추가하고, 거래 전 2FA 인증을 강화하며, IP 변경 시에도 재인증을 요구하거나 MPC(다자간 안전) 인증 방식을 도입해 비밀번호를 분산 관리함으로써 사용자 경험을 희생하더라도 보안성을 높일 것을 제안한다. 그러나 일부 사용자들은 고빈도 거래자들에게는 반복적인 인증이 지나치게 번거롭고 현실성이 떨어진다고 지적하기도 한다.
허이는 이에 대해 "현재 이미 급격한 가격 변동 시 빅데이터 경보와 인공 검토를 병행하고 있으며, 사용자에게 추가 알림을 제공하고 있다. 플러그인 실행 및 쿠키 권한 부여 시 인증 빈도를 강화할 예정이며, 이 경우 거래 비밀번호는 적합하지 않지만 사용자별 특성에 맞춰 보안 인증 단계를 추가할 것"이라고 답했다.

초기로 돌아가면, 두 사건을 통해 사용자들도 높은 경각심을 가져야 하며, 자산을 분산 보관하고 가능하면 독립된 전용 장치를 사용하는 것이 좋다. 인증 절차를 분산시키고 편의성 중심의 설정을 피하며, 비밀번호 없이 로그인하거나 생체 인식 기능을 사용하지 말고, 확장 프로그램 사용에 신중해야 하며, 대규모 자산은 하드웨어 지갑에 보관하는 것이 권장된다.
암호화 자산은 실물 자산과 다르다. 실물 자산은 적어도 추적이 가능하지만, 암호화 자산의 도난은 규제의 한계로 인해 거의 보상을 받기 어렵고, 심지어 고소조차도 어려운 경우가 많다.
이러한 사례는 드물지 않다. 최근 1818 골드아이의 보도에서도 전형적인 사례가 나왔다. 주인공인 주 씨는 중국 지식 커뮤니티 '지후(Zhihu)'에서 암호화폐 투자로 수천만 원의 수익을 올렸다는 인플루언서 '청치치(程七七)'를 발견하고 그를 따라 투자해 수익을 얻고자 했다. 양측은 계약을 맺고 수익의 70%를 청치치에게, 30%를 주 씨가 가지기로 하고, 손실 발생 시 각각 50%씩 부담하기로 했다. 거래 과정에서 주 씨는 단순히 따라 매매만 했으며, 모든 계정 소유권은 본인에게 있었다.
이렇게 높은 수익 배분과 신뢰를 주는 계약에도 불구하고 신뢰할 만한 결과는 나오지 않았다. 초기 소규모 수익을 본 후 주 씨는 투자 금액을 늘렸으며, 청치치가 "강제 청산 시 전액 보상"을 약속하자 빌린 60만 위안의 자본금에 100배 레버리지를 걸어 ETH를 숏 포지션으로 진입했다. 그러나 ETH 가격 상승으로 인해 주 씨는 모든 자산을 잃고 말았다.
이런 상황은 고소하기 어렵다. 모든 거래가 본인의 의사로 이루어졌으며, 사기나 강압 행위가 없기 때문이다. 사건의 마지막에 경찰과 기자는 어쩔 수 없이 "중국 법률에 따라 가상화폐 거래는 보호되지 않으며, 높은 위험이 따르므로 경계해야 한다"고 강조할 수밖에 없었다.

결국 주 씨는 마음이 아프고 억울한 표정으로 헛웃음을 짓는 씁쓸한 결말을 맞이했다.
어찌 됐든, 여기서 다시 한번 거래 참여자들에게 경고한다. 어느 금융 분야이든, 암호화폐 세계처럼 일부 보안을 희생해 높은 수익과 자유를 추구하는 영역이라 할지라도, 보안은 효율성이나 수익보다 훨씬 더 중요하다. 이것이 아마도 탈중앙화를 표방하는 암호화 세계가 사실상 중심화된 구조에서 벗어나기 어려운 이유 중 하나일지도 모른다.
결국 인간의 본성은 누구나 누군가가 책임져주기를 바라며, 아무리 많은 돈을 벌어도 남을 위한 희생은 원하지 않기 때문이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News










