환상과 미로: 암호화 세계에서의 사회공학과 인간성의 게임
글: 챈들러Z, Foresight News
보안은 사슬과 같아서 가장 약한 고리에 의해 결정된다. 그리고 인간은 바로 암호 시스템의 아킬레스건이다. 시장이 여전히 더 복잡한 암호 보호 장치를 구축하는 데 몰두하고 있을 때, 공격자들은 이미 한 가지 지름길을 발견했다. 암호를 해독할 필요 없이, 암호를 사용하는 사람만 조작하면 된다.
사람은 가장 취약한 고리이며 동시에 가장 소홀히 다뤄지는 요소이기도 하다. 즉, 해커가 가장 쉽게 돌파하고 이용할 수 있는 취약점이 바로 사람인 반면, 기업이 보안에 투자하는 부분 중 개선 속도가 가장 느린 부분이기도 하다.
블록체인 분석 회사 체인얼라이시스(Chainalysis)의 최신 보고서에 따르면, 2024년 북한 해커는 전 세계 암호화 자산 플랫폼에서 13억 달러 상당의 자산을 탈취하며 47건의 정교한 공격을 실행했으며, 이는 전년 대비 21% 증가한 수치다. 더욱 충격적인 사실은 2025년 2월 21일 바이빗(Bybit) 거래소가 해킹되어 약 15억 달러 규모의 암호화 자산이 유출된 사건으로, 이는 암호화 역사상 단일 도난 사건으로서 사상 최대 기록을 세웠다.
지난 여러 차례의 주요 공격 사건들 가운데 많은 경우 전통적인 기술적 결함을 통해 이루어진 것이 아니었다. 거래소와 프로젝트 팀이 매년 수십 억 달러를 기술 방어에 투자하고 있음에도 불구하고, 수학과 코드로 구성된 듯 보이는 이 세상에서 많은 참여자들이 사회공학(Social Engineering)이 가져오는 위협을 과소평가하고 있다.
사회공학의 본질과 진화
정보보안 분야에서 사회공학은 독특하면서도 위험한 공격 수법으로 오랫동안 존재해 왔다. 기술적 결함이나 암호 알고리즘의 약점을 이용해 시스템에 침입하는 것과 달리, 사회공학은 인간의 심리적 약점과 행동 패턴을 이용하여 피해자를 기만하고 조종한다. 높은 기술력이 요구되지 않지만, 종종 극심한 피해를 초래할 수 있다.
디지털 시대의 도래는 사회공학에 새로운 도구와 무대를 제공했다. 특히 암호화 자산 분야에서 이러한 진화가 두드러진다. 초기 암호화 자산 커뮤니티는 주로 기술 애호가와 암호 펑크(cypherpunk)들로 구성되어 있었으며, 일반적으로 경계심과 일정 수준의 기술 이해도를 갖추고 있었다. 그러나 암호화 자산이 점차 대중화되면서 관련 기술에 익숙하지 않은 신규 사용자들이 급증했고, 이는 사회공학 공격에 이상적인 환경을 만들어냈다.
또한, 높은 익명성과 되돌릴 수 없는 거래 특성 때문에 암호화 자산은 공격자에게 수익을 창출하기에 이상적인 목표물이 되었다. 일단 자금이 공격자의 지갑으로 이체되면 거의 회수가 불가능하다.
암호화 분야에서 사회공학이 쉽게 성공하는 이유는 인간의 의사결정 과정에서 나타나는 다양한 인지 편향에 크게 기인한다. 확인 편향은 투자자가 자신이 기대하는 정보만 선택적으로 받아들이게 만들며, 군중심리는 시장 버블을 유발하기 쉽고, FOMO(Fear of Missing Out, 놓칠까 두려움) 감정은 손실 상황에서 비합리적인 선택을 하게 만든다. 공격자들은 이러한 심리적 약점을 능숙하게 활용하여 이를 ‘무기화’한다.
복잡한 암호 알고리즘을 해킹하려는 시도보다 사회공학 공격을 실행하는 비용은 훨씬 낮고 성공률은 오히려 높다. 정교하게 위조된 피싱 이메일 한 통, 겉보기에 정식인 듯 하지만 함정이 숨겨진 채용 제안서 하나가 기술적 난제에 직접 맞서는 것보다 훨씬 효과적일 수 있다.
흔한 사회공학 수법들
사회공학 공격 수법은 다양하지만, 그 핵심 논리는 여전히 ‘타겟의 신뢰와 정보를 빼내는 것’에 집중되어 있다. 다음은 주요 수법들에 대한 간략한 설명이다.
피싱(Phishing)
이메일 / 문자 메시지 피싱: 거래소, 지갑 서비스 제공업체 또는 기타 신뢰할 수 있는 기관처럼 가장한 링크를 이용해 사용자가 시드 문구(seed phrase), 개인키(private key), 계정 비밀번호 등 민감한 정보를 입력하도록 유도한다.
위조된 소셜미디어 계정: 트위터, 텔레그램, 디스코드 등의 플랫폼에서 '공식 고객센터', '유명 KOL', '프로젝트 팀' 등을 사칭하여 가짜 링크나 허위 이벤트 정보를 게시하고, 사용자가 클릭 후 키 정보를 입력하거나 암호화폐를 송금하게 유도한다.
브라우저 확장 프로그램 또는 가짜 웹사이트: 실제 거래소나 지갑 웹사이트와 매우 유사한 모조 사이트를 구축하거나, 악성 브라우저 확장 프로그램 설치를 유도한다. 사용자가 이런 페이지에서 정보를 입력하거나 권한을 부여하면 개인키가 유출된다.
가짜 고객센터 / 기술지원 사칭
텔레그램이나 디스코드 그룹에서 흔히 발생하며, 누군가 '관리자' 혹은 '기술 지원'을 사칭하여 입금 미도착, 출금 실패, 지갑 동기화 오류 등의 문제 해결을 명분으로 사용자에게 개인키를 요구하거나 특정 주소로 암호화폐를 송금하도록 유도한다.
또한 개인 메시지나 소규모 그룹을 통해 피해자를 끌어들여 '분실한 코인을 되찾아줄 수 있다'고 거짓말하며 추가 자금을 유인하거나 키 정보를 탈취하기도 한다.
SIM 카드 교환(SIM Swap)
공격자는 통신사 직원을 매수하거나 기만하여 피해자의 휴대폰 번호를 백엔드에서 자신이 관리하는 기기로 이전시킨다. 일단 번호가 탈취되면 SMS 인증이나 2단계 인증(2FA)을 통해 거래소, 지갑, 소셜 계정의 비밀번호를 재설정하고 암호화 자산을 탈취할 수 있다.
SIM 스왑은 미국 등지에서 많이 발생했으며, 다른 국가에서도 유사 사건이 보고되고 있다.
악성 채용 / 헤드헌팅과 결합된 사회공학
채용이라는 명목을 빌어 공격자는 대상자의 이메일이나 소셜미디어 계정으로 악성 파일이나 링크가 포함된 '채용 제안서'를 보내, 대상자가 트로이 목마(malware)를 다운로드하고 실행하도록 유도한다.
공격 대상이 암호화 기업의 내부 직원이나 핵심 개발자이거나, 대량의 암호화폐를 보유한 '헤비 유저'라면, 회사 인프라의 침입, 키 유출 등의 심각한 결과를 초래할 수 있다.
2022년 액시 인피니티(Axie Infinity)의 론인(Ronin) 브릿지 보안 사고는 The Block의 보도에 따르면 허위 채용 광고와 관련이 있었다. 관련자에 따르면, 해커는 링크드인(LinkedIn)을 통해 액시 인피니티 개발사 스카이 마비스(Sky Mavis)의 직원에게 접근했으며, 여러 차례 면접 후 고액 연봉으로 채용되었다고 알렸다. 이후 해당 직원은 PDF 형식의 위조 입사 통지서를 다운로드하였고, 이로 인해 해커의 소프트웨어가 론인 시스템에 침투하여 네트워크의 9개 검증기 중 4개를 장악하였다. 아직 한 개 부족해 완전한 통제는 못했으나, 이후 권한이 취소되지 않은 액시 DAO를 장악함으로써 최종적으로 침입을 완료했다.
가짜 에어드롭 / 무료 코인 행사
트위터, 텔레그램 등 플랫폼에서 '특정 주소로 X개의 코인을 송금하면 두 배로 돌려주겠다'는 식의 가짜 '공식 행사를 선전하지만, 실제로는 모두 사기다.
공격자들은 또한 '화이트리스트 에어드롭', '테스트넷 에어드롭' 등을 명분으로, 사용자가 알 수 없는 링크를 클릭하거나 피싱 웹사이트에 지갑을 연결하게 하여 키 정보를 탈취하거나 권한을 획득한 후 코인을 훔친다.
2020년에는 오바마, 바이든, 버핏, 빌·게이츠 등 다수의 미국 정치·경제계 유명 인사들과 주요 기업들의 소셜미디어 트위터 계정이 해킹당했다. 해커들은 비밀번호를 탈취해 계정을 장악한 후 '두 배로 돌려준다'는 유혹을 통해 사용자들이 암호화폐를 특정 주소로 송금하도록 유도했다. 최근까지도 유튜브에서는 머스크를 사칭한 '두 배 돌려주기' 사기가 계속 발생하고 있다.
내부 인력 침투 / 퇴사 직원 범행
일부 암호화폐 기업이나 프로젝트 팀의 퇴사 직원, 혹은 공격자에게 매수된 재직 직원이 내부 시스템과 운영 절차에 대한 지식을 이용해 사용자 데이터베이스, 개인키를 훔치거나 승인되지 않은 거래를 실행한다.
이러한 사례에서는 기술적 결함과 사회공학이 더욱 긴밀하게 결합되어 대규모 손실을 초래하는 경우가 많다.
'백도어'가 삽입되었거나 조작된 가짜 하드웨어 지갑
공격자들은 이베이(eBay), 쉰후(闲鱼), 텔레그램 그룹 또는 기타 전자상거래/중고 거래 플랫폼에서 시중가보다 낮은 가격이나 정품 보장을 미끼로 하드웨어 지갑을 판매하지만, 실상은 장치 내부의 칩이나 펌웨어가 조작된 것이다. 또한 사용자가 중고 또는 리퍼비시 제품을 구매하면서, 판매자가 미리 개인키를 등록해놓은 상태일 수도 있다. 구매자가 자금을 입금하자마자 공격자는 동일한 개인키로 언제든지 자산을 인출할 수 있다.
또한 일부 사용자는 데이터 유출 사고 이후 제조사(Ledger 등)로부터 무료로 교체용 장치나 보안 업그레이드 버전 장치가 배송되는 것을 받는데, 포장 안에는 새 시드 문구 카드와 사용 설명서가 함께 들어있다. 사용자가 이러한 사전 설정된 시드 문구를 사용하거나 원래 시드 문구를 가짜 장치로 옮기게 되면, 공격자는 해당 지갑의 모든 자산에 접근할 수 있게 된다.
위 예시들은 빙산의 일각에 불과하며, 사회공학의 다양성과 유연성은 암호화폐 분야에서 특히 파괴력이 크다. 대부분의 일반 사용자들에게 이러한 공격은 예방하기 어렵다.
욕심과 공포
욕심은 항상 가장 쉽게 조작될 수 있는 약점이다. 시장이 극도로 활성화된 시기에 일부 사람들은 군중심리에 따라 갑작스럽게 유명해진 프로젝트에 무작정 뛰어든다. 공포와 불확실성 또한 사회공학에서 자주 이용되는 돌파구다. 암호화 자산이 격렬하게 변동하거나 프로젝트에 문제가 생겼을 때, 사기범들은 '긴급 공지'를 발송하며 프로젝트가 극심한 위험에 처했다고 주장하고, 사용자가 자금을所谓 '안전한 주소'로 이체하도록 유도한다. 많은 초보자들은 손실을 두려워해 냉정한 판단을 하지 못하고 이런 공포에 휘둘리기 쉽다.
또한, FOMO 심리는 암호화 생태계 전반에 걸쳐 흔히 볼 수 있다. 다음 번 강세장이나 다음 비트코인을 놓칠까 두려워하는 마음이 사람들로 하여금 서둘러 자금을 투입하고 프로젝트에 참여하게 만들지만, 위험과 진위 여부를 판단하는 기본적인 능력은 부족하다. 사회공학 공격자들은 '기회는 단 한 순간뿐이며, 놓치면 두 배로 불릴 가능성은 영영 사라진다'는 분위기를 조성하기만 해도, 일부 투자자들이 자발적으로 덫에 빠지게 할 수 있다.
위험 인식 및 예방
사회공학이 예방하기 어려운 이유는 바로 그것이 인간의 인지적 사각지대와 심리적 약점을 노리기 때문이다. 투자자로서 다음의 핵심 사항들을 유념해야 한다:
보안 의식 강화
절대로 개인키와 시드 문구를 함부로 유출해서는 안 된다. 어떤 상황에서도 개인키, 시드 문구, 민감한 신원 정보를 타인에게 알려서는 안 되며, 공식 팀은 거의 절대 개인 대화를 통해 그러한 정보를 요구하지 않는다.
'비현실적인 수익 약속'에 주의하라. '제로 리스크 고수익', '원금의 수배를 돌려준다'고 주장하는 모든 활동은 거의 확실히 사기일 가능성이 높다.
링크 및 출처 검증
브라우저 확장 프로그램이나 공식 채널을 이용해 URL을 반드시 확인한다. 암호화 자산 거래소, 지갑, 탈중앙화 애플리케이션(DApp) 웹사이트의 경우 도메인 이름이 정확한지 반복적으로 확인해야 한다.
출처가 불분명한 링크를 함부로 클릭해서는 안 된다. 상대방이 '에어드롭 혜택' 또는 '공식 보상'이라고 주장하더라도, 반드시 공식 소셜미디어나 공식 채널을 통해 먼저 사실 여부를 확인해야 한다.
커뮤니티 및 소셜미디어 신원 확인
공식 계정의 인증 마크, 팔로워 수, 상호작용 기록을 확인하라. 낯선 개인 채팅 그룹에 무작정 참가하거나 그룹 내 알 수 없는 링크를 클릭하는 것은 피해야 한다.
'무료 제공' 정보에 대해서는 항상 의심을 가져야 하며, 많이 살펴보고 질문하며 경험 많은 투자자나 공식 채널에 문의하여 확인해야 한다.
건강한 투자 마인드 구축
시장 변동성을 이성적으로 바라보며 단기간의 급등락에 감정적으로 휘둘리지 말아야 한다.
언제나 최악의 상황을 대비해야 하며, '놓칠까 두려움(FOMO)' 때문에 잠재적 위험을 간과해서는 안 된다.
인간 요소의 영원한 중요성
인간성은 사회공학이 반복적으로 성공할 수 있는 근본적인 기반이다. 공격자들은 군중심리, 욕심, 공포, 불안감, FOMO(놓칠까 두려움) 등의 특성을 겨냥하여 수많은 사기 수법을 설계한다.
블록체인 및 암호화 분야의 기술적 진화와 비즈니스 모델의 확장과 함께, 사회공학 수법 역시 진화하고 있다. 딥페이크(Deepfake) 기술의 성숙은 머지않아 더 큰 위협으로 다가올 수 있으며, 공격자들은 합성된 동영상과 음성을 통해 프로젝트 책임자를 현실감 있게 사칭하여 피해자와 실시간으로 연결할 수 있을지도 모른다. 다차원적 사회공학 또한 업그레이드될 것이며, 공격자들은 여러 소셜 플랫폼을 넘나들며 장기간 잠복하여 정보를 수집한 후, 정교하게 설계된 감정 조작을 통해 표적을 공격할 수 있다.
사회공학이 지속적으로 존재한다는 사실은 우리에게 상기시킨다. 기술이 아무리 발전해도 인간 요소는 여전히 시스템의 핵심 구성 요소라는 것을 말이다. 사회공학의 영향을 완전히 제거하는 것은 현실적으로 불가능할 수 있으므로, 코드뿐만 아니라 사람에게도 동등한 관심을 기울여야 비로소 더 탄탄한 시스템을 구축할 수 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
Foresight News
