암호화폐 트위터 계정 도용 사건 잇따라 발생, 해커들의 새로운 공격 방식 및 수익 창출 수법 되돌아보기
최근 몇 달 동안 점점 더 많은 암호화 프로젝트, 관계자뿐 아니라 정치인과 유명인의 소셜미디어 계정도 해킹을 당해 사기 정보가 게시되고 있습니다. 최근 일부 Bitget 직원들도 유사한 피싱 공격을 직접 경험했으며, 계정을 복구한 후 조사를 진행하면서 우리는 해커들의 새로운 공격 수법이 계속 진화하고 있으며, 그 교묘함과 은밀성이 매우 높아졌음을 알게 되었습니다. 따라서 이번 글을 준비하여 전체 산업의 보안 방어에 도움이 되고자 합니다.
Bitget 직원들이 겪은 피싱 공격
5월 중순, 비즈니스 확장 업무를 맡은 한 Bitget 직원은 협력사로부터 트위터 다이렉트 메시지를 받았습니다. 이는 잠재적 협업을 논의하자며 회의 일정을 제안하는 내용이었고, 양측은 곧바로 회의 시간을 정해 온라인 미팅을 진행했습니다. 회의 중 상대방은 "기능 테스트"라는 명목으로 특정 설치 파일들을 보내며 Bitget 직원에게 체험을 권유했습니다.
그 후 며칠 동안 해당 직원은 친구들과 업계 관계자들로부터 계속해서 문의를 받았습니다. "너한테 이상한 트위터 DM을 받았는데, 너 맞지?" 이상 징후를 감지한 직원은 즉시 Bitget 보안팀과 협력하여 바인딩된 이메일 등의 정보를 활용해 계정을 복구했습니다.
암호화폐 트위터 계정 대상 해킹 공격 및 수익 창출 방식
이어진 보안 점검 과정에서 우리는 해커들의 구체적인 공격 방법과 이를 통해 어떻게 수익을 얻는지 단계별로 재구성할 수 있었습니다.
첫 번째 단계: 해커는 이미 장악한 소셜미디어 계정을 통해 '피해자'에게 다이렉트 메시지를 보내며, 특정 Telegram 계정에 연락해 추가적인 협의를 하도록 유도한다
❗ 보안 주의사항:
-
이러한 다이렉트 메시지가 반드시 의심스러운 소규모 계정에서 오는 것은 아니다. 때때로 인증된 공식 계정에서 올 수도 있지만, 실제로는 공식 팀이 보낸 것이 아닐 수 있다
-
해커는 이미 이러한 공식 계정의 접근 권한을 은밀히 확보한 상태이며, 피해자를 Telegram으로 유도해 다음 단계의 사기를 실행한다
-
해커는 다이렉트 메시지를 보낸 직후 바로 삭제하므로, 수백 건의 메시지를 보냈더라도 계정 주인은 자신의 계정이 침해되었는지 전혀 눈치채지 못할 수 있다
두 번째 단계: 피해자가 해커의 Telegram 계정에 접촉하면, 해커는 온라인 회의를 제안하고 회의 중 특정 문서의 다운로드 및 설치를 요청한다
❗ 보안 주의사항:
-
해커의 Telegram 계정은 실제 직원처럼 위장되며, 관련 정보는 LinkedIn 등의 플랫폼에서 수집된다. 계정 ID는 실제 직원과 매우 유사하게 구성되며, 예를 들어 I(대문자 아이)와 l(소문자 엘)을 혼동시키는 방식으로 위장한다
-
해커는 설치 파일 내 악성 코드를 심어 피해자의 다운로드를 유도함으로써 컴퓨터 접근 권한을 획득하고, 이후 소셜미디어 계정뿐 아니라 암호화폐 자산 또는 법정 화폐 자산까지 탈취할 수 있다
세 번째 단계: 피해자의 기기 접근 권한을 확보한 후, 해커는 먼저 자산을 직접 탈취하려 시도한다. 이후에는 피해자의 트위터 및 Telegram 계정을 이용해 새로운 피해자를 물색하며, 해당 계정을 통해 트위터 DM을 발송하고 해커가 통제하는 Telegram 계정에 연락하도록 유도함으로써 후속 사기를 진행한다
❗ 보안 주의사항:
-
앞서 언급했듯이, 해커는 메시지를 보낸 후 즉시 삭제하므로 계정 주인은 자신의 계정이 침해되었는지 인지하기 어렵다
-
이는 인증된 공식 계정에서 사기 메시지가 왔음에도 불구하고 해당 계정이 아무런 조치를 취하지 않는 이유를 설명해주며, 사실 그 계정 주인조차도 여전히 상황을 인지하지 못하고 있다는 것을 의미한다
네 번째 단계: 다음 피해자가 Telegram을 통해 해커와 연결되면, 해커는 자신이 위장한 신분에 따라 적절한 사기 수법을 선택한다
❗ 보안 주의사항:
-
해커가 거래소 직원으로 위장한 경우, 일반적으로 상장 협력 등을 명분으로 피해자에게 송금을 유도한다
-
해커가 프로젝트 측 직원으로 위장한 경우, 조기 투자 참여 등을 명분으로 피해자에게 송금을 유도한다
-
해커가 투자기관 직원으로 위장한 경우, 투자 협력 등을 명분으로 피해자에게 송금을 유도한다
-
해커가 위장한 신분으로는 직접적인 금전적 이득을 얻기 어려울 경우, 이를 디딤돌로 삼아 피해자의 관계망 내 다른 사람들에게 트로이 목마 프로그램 설치를 유도하며, 이를 통해 또 다른 계정의 접근 권한을 획득해 해커의 새로운 사기 도구로 전환한다
요약
본문에서 언급한 해커의 공격 및 수익 창출 수법은 과거와 마찬가지로, 해커가 여전히 트로이 목마를 심기 위해 특정 파일 설치를 유도해 피해자의 기기를 제어한다는 공통점이 있습니다. 하지만 차이점은 해커가 여러 방면에서 수법을 최적화했다는 점입니다.
-
인증된 트위터 계정을 통해 피해자에게 DM을 보내 신뢰도를 크게 높이고, 사기 성공률을 향상시켰다
-
DM 발송 후 즉시 삭제함으로써 계정 주인이 이상을 감지하지 못하게 하여 장기간 해당 계정에 잠복할 수 있게 되었다. 과거 사례에서는 계정을 탈취한 후 즉시 사기 트윗을 게시하거나 가짜 이벤트, 스캠 코인 등을 통해 빠르게 수익을 거두는 방식이었지만, 이러한 방식은 곧바로 계정 주인과 대중의 경각심을 불러일으켰다
-
피해자와 추가 소통을 위한 Telegram 계정 또한 정교하게 위장되며, 보통 공식 관계자와 매우 유사한 ID를 사용한다
유사한 피싱 공격을 식별하고 방어하는 방법
-
다양한 초대나 제안에 주의하라.심지어 그것이 “공식” 계정에서 온 것이라 할지라도.초대를 받았을 때는 다른 경로를 통해 초대자의 신분을 반드시 확인하라. 만약 “알던 사이”라면, 대화를 나누기 전에 이전 대화 기록이 존재하는지 확인하라.
-
회의 중 상대방이 보낸 파일은 함부로 다운로드하거나 열지 마라.Teams나 Zoom 같은 회의 클라이언트 설치가 필요하다면, 반드시 Teams 또는 Zoom 공식 웹사이트에서 다운로드받아야 한다. 이는 매우 중요하다.
-
대화 중에는 비디오 및 음성 권한만 부여하라.Zoom이나 Teams에 다른 권한을 부여하지 말아야 하며, 해커가 원격으로 컴퓨터를 제어하는 것을 방지해야 한다.
-
대화 중에는 어떤 이유로든 컴퓨터 앞을 떠나지 마라.불가피하게 자리를 비워야 할 경우, 다른 사람에게 화면을 지켜보게 하라. 해커가 당신이 없는 틈을 타 컴퓨터를 조작하는 것을 조심하라.
-
비밀번호 복구 문구(Seed phrase)를 컴퓨터나 휴대폰에 백업하지 마라.다단계 인증(MFA)을 사용할 수 있는 곳은 모두 활성화하라.
-
자산 관련 휴대폰은 iPhone을 사용하고 최신 버전으로 업데이트하라.잠금 모드를 켜고, 외부 소통에는 최대한 적게 사용하며, 업무용 또는 소셜 목적의 컴퓨터나 휴대폰과 분리하라.
계정이 해킹당했을 경우? 신속하게 대응해 피해를 최소화하는 방법
비록 보안 조치가 철저하더라도 여전히 피해를 입을 가능성은 있다. 계정이 해킹당했음을 발견했을 때는 반응 속도가 피해 규모를 결정짓는다.
-
컴퓨터를 종료하고 네트워크 연결을 끊어, 해커의 기기 침해를 즉시 차단하라.
-
자산 안전 점검(예: 지갑 권한 승인 여부). 공격자가 로컬 지갑(브라우저 확장 프로그램, 개인키 저장 등)에 접근했을 가능성이 있으므로, 자산을 즉시 새 지갑으로 이전하라(새로운 개인키 생성을 권장하며, 동일한 복구 문구를 사용하지 않도록 한다).
-
다른 기기 또는 이메일을 통해 계정을 즉시 복구하라. 로그인 상태가 만료되기 전에 바인딩된 이메일 또는 휴대폰 번호로 로그인하여 비밀번호를 재설정하고, 모든 다른 기기의 세션을 즉시 종료하라. 계정을 되찾은 후 가장 먼저 모든 제3자 로그인 권한을 해제하여 해커가 계정을 계속 조작하는 것을 방지하라.
-
주변 사람들에게 알리고 경고하라. 최근의 DM 내용을 믿지 말라고 알려주며, 이상 계정을 신고하여 더 많은 사람들이 인지하고 연쇄 피해를 막도록 하라.
위 사례는 특수한 사례가 아니며, 암호화폐 산업에 있는 모든 사용자가 직면할 수 있는 현실입니다. Bitget은 단순히 방어 체계를 구축하는 것을 넘어, 여러분과 함께 '보안 의식'을 진정한 능력으로 만들어가고자 합니다. 현재 Bitget '반사기(反欺诈) 캠페인'이 진행 중이며, 일련의 반사기 콘텐츠와 인터랙티브 이벤트를 준비했습니다. 이벤트 페이지에 방문하시어 함께 사기 식별 능력을 높이고, 보안의 경계를 지켜주세요.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
