물리적 납치: 비트코인 신고점 이후 발생한 렌치 공격
배경
블록체인의 어두운 숲 속에서 우리는 흔히 체인 상 공격, 스마트 계약 취약점, 해커 침입에 대해 이야기하지만, 점점 더 많은 사례들이 리스크가 이미 체인 외부로 확산되고 있음을 경고한다.
Decrypt와 Eesti Ekspress의 보도에 따르면, 최근 한 법정 재판에서 암호화폐 억만장자이자 기업가인 팀 히스(Tim Heath)는 지난해 자신이 겪은 납치 미수 사건을 회상했다. 공격자들은 GPS를 통한 위치 추적, 위조 여권 및 일회용 휴대폰을 이용해 그의 행적을 파악하고, 그가 계단을 오르는 순간 뒤에서 돌진하여 머리에 자루를 씌워 납치하려 시도했다. 히스는 상대방의 손가락 한 마디를 깨물어 떼버린 후 간신히 탈출할 수 있었다.
암호화 자산의 가치가 지속적으로 상승함에 따라 암호화폐 사용자를 대상으로 한 '렌치 공격(wrench attack)'이 점점 더 빈번해지고 있다. 본문은 이러한 공격 수법을 심층 분석하고, 주요 사례를 검토하며 범죄 연쇄 구조를 정리하고 실질적인 예방 및 대응 방안을 제시하고자 한다.
(https://www.binance.com/en/blog/security/binance-physical-security-team-on-how-to-avoid-the-threat-of-reallife-attacks-634293446955246772)
렌치 공격이란 무엇인가?
"당신은 최강의 기술적 보호 장치를 가졌을지 모르지만, 공격자는 단지 렌치 하나로 당신을 제압하면 당신이 암호를 자백하게 만들 수 있다." 5달러 렌치 공격($5 Wrench Attack)이라는 표현은 네트워크 만화 XKCD에서 처음 등장했다. 이는 공격자가 기술적 수단을 사용하지 않고, 협박, 납치 또는 폭력 등의 수단을 통해 피해자에게서 암호나 자산을 강제로 빼내는 것을 의미한다.
(https://xkcd.com/538/)
주요 납치 사건 회고
올해 들어 암호화폐 사용자를 대상으로 한 납치 사건이 잇따라 발생하고 있으며, 피해자는 프로젝트 핵심 인물, KOL부터 일반 사용자까지 다양하다. 5월 초, 프랑스 경찰은 암호화폐 부호의 아버지를 납치했다가 무사히 구조했다. 납치범은 수백만 유로의 몸값을 요구했으며, 가족에게 압력을 가하기 위해 희생자의 손가락을 참혹하게 절단했다.
비슷한 사건은 올해 초부터 나타났다. 1월, 암호화폐 하드웨어 지갑 리저(Ledger) 공동 설립자 데이비드 발랑(David Balland)과 그의 아내는 집에서 무장 괴한의 습격을 받았으며, 납치범 역시 손가락을 절단하고 영상을 촬영하며 100비트코인의 몸값을 요구했다. 6월 초, 프랑스와 모로코 국적을 가진 바디스 모하메드 아마이드 바쥬(Badiss Mohamed Amide Bajjou)라는 남성이 탕헤르에서 체포되었다. Barrons 보도에 따르면, 그는 여러 차례의 프랑스 암호화폐 기업가 납치 사건을 기획한 혐의를 받고 있다. 프랑스 사법부는 해당 용의자가 "납치, 인질 불법 감금" 등의 혐의로 국제형사경찰기구(인터폴)에 의해 수배 중이라고 확인했다. 또한 바쥬는 리저 공동 창업자 납치 사건의 주모자 중 한 명으로 의심받고 있다.
뉴욕에서도 업계를 충격에 빠뜨린 또 다른 사건이 발생했다. 이탈리아계 암호화투자자 마이클 발렌티노 테오프라스토 카투란(Michael Valentino Teofrasto Carturan)은 별장으로 유인된 후 3주간 구금 및 고문을 당했다. 범죄 조직은 전동톱, 전기충격기, 마약 등을 동원해 위협했으며, 고층 건물 옥상에 그를 매달아 지갑의 개인키를 넘기도록 강요했다. 범행자는 암호화폐 산업 내부 인사였으며, 체인 상 분석과 소셜미디어 추적을 통해 정확한 타깃을 선정했다.
5월 중순, 암호화폐 거래소 페이뮴(Paymium) 공동 창립자 피에르 누이자(Pierre Noizat)의 딸과 어린 손자가 파리 거리에서 하얀 밴에 끌려들어가는 직전까지 갔다. <파리지앵(The Parisien)>지 보도에 따르면, 딸이 격렬히 저항했고, 한 행인이 소화기를 밴에 던져 공격자들을 도주하게 만들었다.
이러한 사건들은 체인 상 공격보다 오프라인 폭력 위협이 더욱 직접적이고 효과적이며 진입 장벽이 낮다는 사실을 보여준다. 공격자 대부분은 젊은 층으로, 나이는 16세에서 23세 사이에 집중되어 있으며 기본적인 암호화폐 지식을 갖추고 있다. 프랑스 검찰이 공개한 자료에 따르면, 이미 여러 명의 미성년자가 관련 사건으로 기소된 바 있다.
공개된 사건 외에도, 스로우머스트(SlowMist) 보안팀은 피해자들이 제출한 정보를 정리하는 과정에서 일부 사용자들이 오프라인 거래 중 상대방에게 제압되거나 협박당해 자산을 손실한 사례도 발견했다.
또한 신체적 폭력으로 이어지지는 않았지만, 개인정보, 행적 또는 다른 민감 정보를 확보해 위협을 가하며 자산 이체를 강요하는 '비폭력적 협박' 사례도 존재한다. 이러한 경우는 직접적인 신체적 피해를 입히지는 않지만 이미 인신위협의 경계를 넘었으며, 이것이 '렌치 공격' 범주에 포함되는지 여부는 여전히 논의의 여지가 있다.
중요하게 언급해야 할 점은, 알려진 사건들은 극히 일부에 불과할 수 있다는 것이다. 많은 피해자들이 보복 두려움, 법 집행기관의 무관심 또는 신분 노출 우려 등으로 인해 침묵을 선택하며, 이 때문에 체인 외부 공격의 실제 규모를 정확히 파악하기 어렵다.
범죄 연쇄 구조 분석
케임브리지 대학 연구팀은 2024년 발표한 논문 《Investigating Wrench Attacks: Physical Attacks Targeting Cryptocurrency Users》에서 전 세계 암호화폐 사용자 대상 물리적 협박(렌치 공격) 사례를 체계적으로 분석하며 공격 패턴과 방어의 어려움을 심층적으로 밝혀냈다. 아래 이미지는 논문 내 원본 도표의 번역본이며 참고용으로 제공된다. 원본은 https://www.repository.cam.ac.uk/items/d988e10f-b751-408a-a79e-54f2518b3e70 에서 확인할 수 있다.
여러 주요 사건을 종합하면, 렌치 공격의 범죄 연쇄는 대략 다음과 같은 핵심 단계로 구성된다.
1. 정보 확보
공격자들은 일반적으로 체인 상 정보를 기반으로 시작하여 트랜잭션 행동, 라벨 데이터, NFT 보유 현황 등을 종합해 목표의 자산 규모를 초기 평가한다. 동시에 텔레그램 그룹, X(트위터) 게시글, KOL 인터뷰, 일부 유출된 데이터 등도 중요한 보조 정보 출처가 된다.
2. 현실 위치 파악 및 접촉
목표의 정체를 특정한 후, 공격자들은 그들의 실제 신원 정보를 확보하려 한다. 거주지, 자주 방문하는 장소, 가족 구성 등이 포함된다. 일반적인 수법은 다음과 같다.
-
소셜 플랫폼에서 목표를 유도해 정보를 유출하게 함;
-
공개 등록 자료(예: ENS 연결 이메일, 도메인 등록 정보)를 역추적;
-
유출된 데이터를 활용한 역방향 검색;
-
추적하거나 허위 초청을 통해 목표를 통제 가능한 환경으로 유인.
3. 폭력 위협 및 협박
목표를 제압한 후, 공격자들은 보통 폭력 수단을 동원해 지갑의 개인키, 니모닉 코드, 2차 인증 권한 등을 강제로 확보한다. 주요 방법은 다음과 같다.
-
주먹질, 전기충격, 절단 등의 신체적 가해;
-
피해자가 직접 송금 작업을 수행하도록 강요;
-
가족을 위협해 가족이 대신 송금하도록 요구.
4. 자금 세탁 및 이체
개인키 또는 니모닉 코드를 확보한 후 공격자들은 즉각 자산을 이체한다. 주요 수단은 다음과 같다.
-
믹서(mixer)를 사용해 자금 출처를 은폐;
-
통제된 주소 혹은 규제 미준수 중심화 거래소 계정으로 이체;
-
OTC 채널이나 블랙마켓을 통해 자산을 현금화.
일부 공격자들은 블록체인 기술 배경을 갖추고 있어 체인 상 추적 메커니즘을 잘 알고 있으며, 고의로 다단계 경로를 생성하거나 크로스체인을 활용해 추적을 회피하려 한다.
대응 조치
멀티시그 지갑 사용이나 니모닉 코드 분산 보관 등의 방법은 신체적 위협이라는 극한 상황에서는 실용적이지 못하며, 오히려 공격자에게 불협조로 간주되어 폭력이 심화될 수 있다. 렌치 공격에 대응하기 위한 더 안전한 전략은 "줄 것은 주되, 손실은 통제 가능하게" 하는 것이다.
-
유도용 지갑 설정: 실제 메인 지갑처럼 보이지만 소량의 자산만 보유한 계정을 준비하여 위험 상황에서 '손실 최소화용'으로 사용.
-
가족 보안 관리: 가족 구성원들이 자산 위치 및 대응 요령을 숙지; 안전 암호어(safe word) 설정을 통해 이상 상황 시 위험 신호를 전달; 가정 기기 보안 설정 및 거주지 물리적 보안 강화.
-
신원 노출 자제: 소셜 미디어에서 부를 과시하거나 거래 내역을 공유하지 않기; 현실 생활에서 암호화폐 보유 사실을 드러내지 않기; 지인들과의 정보 교류 관리, 지인을 통한 정보 유출 방지. 가장 효과적인 보호는 "당신이 노릴 만한 대상이라는 것을 아무도 모른다"는 것이다.
마무리하며
암호화폐 산업이 급속도로 성장함에 따라 고객 확인(KYC) 및 자금세탁방지(AML) 제도는 금융 투명성 제고 및 불법 자금 흐름 차단에 핵심적인 역할을 하고 있다. 그러나 시행 과정에서 특히 데이터 보안과 사용자 프라이버시 측면에서 여전히 많은 도전에 직면해 있다. 예를 들어, 규제 요건을 충족하기 위해 플랫폼이 수집하는 민감 정보(신원, 생체정보 등)는 보호가 제대로 되지 않을 경우 공격의 뚫고 들어갈 수 있는 구멍이 될 수 있다.
따라서 기존 KYC 프로세스에 동적 리스크 식별 시스템을 도입해 불필요한 정보 수집을 줄임으로써 데이터 유출 위험을 낮출 것을 제안한다. 동시에 플랫폼은 MistTrack과 같은 원스톱 AML 및 추적 플랫폼에 접속해 잠재적 의심 거래를 식별하고 리스크 관리 능력을 근본부터 강화할 수 있다. 또한 데이터 보안 역량 구축 역시 필수적이다. 스로우머스트(SlowMist)의 레드팀 테스트 서비스(https://cn.slowmist.com/service-red-teaming.html)를 활용하면 플랫폼은 실제 환경에서의 공격 시뮬레이션을 지원받아 민감 데이터의 노출 경로와 리스크 포인트를 종합적으로 평가할 수 있다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
@SlowMist_Team
