지갑, 경고 및 취약점
글: Prathik Desai
번역: Block unicorn
모든 것은 한 통의 메시지에서 시작된다. 브랜드 이미지는 신뢰할 만해 보이고, 로고도 기대에 부합되며, LinkedIn 프로필에는 서로 공통된 연결망이 있는 것으로 나타난다. 채용 담당자는 귀하의 GitHub 프로젝트를 발견했으며, 자금력이 탄탄하고 AI와 DeFi 프로토콜을 결합한 회사에서 계약직으로 일할 기회를 제안한다고 말한다. 당신은 그들의 웹사이트를 간단히 살펴본다. 깔끔하고 매끄러운 디자인, 믿을 수 있는 내용이지만, 예상되는 모든 부분에 전문 용어가 난무한다. 사이트 내에는 선별 테스트가 있으며, 테스트는 ZIP 파일 형태로 전송된다.
압축을 해제하자마자 설치 프로그램을 바로 실행한다. 화면 한순간에 지갑 승인 요청 창이 스쳐간다. 잠깐 생각도 없이 확인을 누른다. 그러나 아무 일도 일어나지 않고 컴퓨터도 멈추지 않는다. 다섯 분 후, 당신의 Solana 지갑은 완전히 비워진다.
이것은 허구가 아니다. 거의 2025년 블록체인 분석 전문가들이 북한 해커 조직과 관련된 대규모 공격 사례로 기록한 과정 그 자체이다. 그들은 가짜 채용 정보, 트로이 목마가 감염된 테스트 파일, 악성 소프트웨어를 이용해 지갑을 침입한다.
이 글에서는 2025년 암호화폐 공격 수법의 진화 양상과 가장 흔한 체인 상 공격으로부터 자신을 보호하는 방법을 안내할 것이다.
자, 이제 본론으로 들어가보자.
2025년 암호화 해킹 공격의 가장 큰 변화
2025년 1월부터 9월까지 북한과 연계된 해커들이 훔친 암호화폐 금액은 이미 20억 달러를 초과했다. 블록체인 분석 회사 엘립틱(Elliptic)에 따르면, 2025년은 디지털 자산 범죄 금액이 사상 최고치를 기록한 해가 되었다.
가장 큰 단일 손실 사건은 2월 바이비트(Bybit) 거래소 해킹 사건으로, 이 사건으로 인해 해당 암호화폐 거래소는 14억 달러를 잃었다. 북한 정권이 지금까지 훔친 암호 자산의 누적 가치는 이미 60억 달러를 넘었다.
충격적인 숫자 외에도, 엘립틱 보고서에서 가장 주목할 점은 암호화폐 취약점 악용 방식의 변화이다. 보고서는 "2025년 대부분의 해킹은 사회공학 공격을 통해 이루어졌다"고 지적하며, 이는 북한이 이전처럼 인프라를 파괴해 거액을 훔치던 방식과는 극명하게 다르다고 설명한다. 예를 들어 2022년과 2024년에 악명 높았던 Ronin Network 해킹 사건, 그리고 2016년 The DAO 해킹 사건 등이 그러하다.
오늘날 보안 취약점은 인프라에서 인간 요소로 옮겨갔다. 체인얼라이시스(Chainalysis) 보고서 역시 2024년 암호화폐 도난 사건 중 개인키 유출이 가장 큰 비중(43.8%)을 차지했다고 밝혔다.
암호화폐가 발전하고 프로토콜 및 블록체인 수준의 보안이 강화됨에 따라, 공격자들은 오히려 개인키를 소유한 사람을 노리는 것이 더 쉬워졌다는 것이 명백하다.
이러한 공격은 또한 무작위 개인 공격이 아니라 점점 더 조직화되고 있다. 최근 미국 연방수사국(FBI)과 사이버보안 및 인프라보안국(CISA)의 공지 및 언론 보도들은 북한과 관련된 공격 활동을 묘사하고 있는데, 이들은 가짜 암호화 엔지니어 채용 정보, 트로이 목마가 심어진 지갑 소프트웨어, 악성 오픈소스 커뮤니티 오염을 결합하여 공격을 수행한다. 해커들이 사용하는 도구는 기술적이지만, 공격의 시발점은 인간의 심리적 측면이다.
바이비트 해킹 사건은 지금까지 발생한 가장 큰 규모의 단일 암호화폐 절도 사건으로, 대규모 거래에서 이러한 문제가 어떻게 발생하는지를 보여준다. 약 14억 달러 상당의 이더리움이 한 지갑 클러스터에서 도난당했을 때 초기 기술 분석은 서명자가 권한 내용을 제대로 검토하지 않았음을 나타냈다. 이더리움 네트워크 자체는 유효하고 서명된 거래를 실행했지만, 문제는 인간 운영 단계에 있었다.
또한, 어태믹 월렛(Atomic Wallet) 해킹 사건에서는 악성코드가 사용자 컴퓨터 상의 개인키 저장 방식을 공격함으로써 약 3500만 달러에서 1억 달러 상당의 암호 자산이 사라졌다.
많은 경우에서 이런 사실을 알 수 있다. 사람들이 송금 시 지갑 주소를 제대로 확인하지 않거나, 매우 낮은 보안 수준으로 개인키를 저장하면 프로토콜 자체로는 거의 아무런 도움이 되지 못한다.
자체 관리(self-custody)도 완전한 해결책이 아니다
"너의 개인키가 아니면 너의 코인이 아니다"라는 원칙은 여전히 유효하지만, 문제는 사람들이 여기서 사고를 멈춘다는 것이다.
지난 3년 동안 많은 사용자들이 자금을 거래소에서 이체했는데, 이는 FTX 붕괴와 같은 사건이 다시 발생할까 우려해서이기도 하고, 이념적 신념 때문이기도 하다. 지난 3년 동안 탈중앙화 거래소(DEX)의 누적 거래량은 3.2조 달러에서 11.4조 달러로 두 배 이상 증가했다.
겉보기에는 보안 문화가 향상된 것 같지만, 위험은 보관형 보안 조치에서 사용자가 스스로 문제를 해결해야 하는 혼란 속으로 이동했다. 브라우저 확장 프로그램, 메신저 대화 기록이나 이메일 초안에 저장된 니모닉 키워드, 암호화되지 않은 노트 앱에 저장된 개인키는 잠복 중인 위험에 효과적으로 대응할 수 없다.
자체 관리는 의존성 문제를 해결하기 위한 것이다. 즉, 거래소, 보관자, 출금을 동결하거나 직접 파산할 수 있는 제3자의 의존성을 끊는 것이다. 그러나 해결하지 못한 것은 '인지' 문제이다. 개인키는 통제권을 줄 뿐 아니라 전적인 책임도 함께 부여한다.
그렇다면 이 문제를 어떻게 해결해야 할까?
하드웨어 지갑은 마찰을 줄이는 데 도움이 된다
콜드 스토리지는 일부 문제를 해결할 수 있다. 자산을 오프라인 상태로 보관하며 마치 금고처럼 저장하는 방식이다.
문제가 해결되었는가? 일부만 해결되었다.
일반 장비에서 개인키를 분리함으로써 하드웨어 지갑은 브라우저 확장 프로그램이나 '한 번 클릭으로 거래 승인'의 번거로움을 피할 수 있다. 물리적 승인 메커니즘을 도입함으로써 사용자를 보호하는 역할을 한다.
하지만 하드웨어 지갑도 결국 하나의 도구일 뿐이다.
여러 지갑 제공업체의 보안팀은 이를 명확히 지적하고 있다. 리저드(Ledger)는 자사 브랜드를 이용한 피싱 공격이 여러 차례 발생했으며, 가짜 브라우저 확장 프로그램과 Ledger Live 복제 버전이 사용되었다고 보고했다. 이러한 인터페이스는 충분히 익숙해 보여 경각심을 늦추게 하지만, 사용자는 어느 단계에서 니모닉 키워드 입력을 요구받는다. 니모닉 키워드가 유출되면 결과는 참담하다.
또한 사용자는 가짜 펌웨어 업데이트 페이지에서 니모닉 키워드를 입력하도록 유도될 수도 있다.
따라서 하드웨어 지갑의 진정한 역할은 공격 표면을 이동시키고 마찰을 추가함으로써 공격 가능성을 낮추는 것이다. 그러나 위험을 완전히 제거할 수는 없다.
분리(separation)가 핵심이다
하드웨어 지갑이 최대 효능을 발휘하려면 공식 또는 신뢰할 수 있는 채널을 통해 구매하고, 니모닉 키워드를 완전히 오프라인 상태에서 안전하게 보관해야 한다는 전제가 필요하다.
이 분야에 오랫동안 몸담아온 사람들, 즉 사건 대응 담당자, 체인 상 추적 전문가, 지갑 엔지니어들 모두 위험의 분리와 분산을 권장한다.
하나의 지갑은 일상적인 용도로, 다른 하나는 거의 인터넷에 연결하지 않는다. 소액 자금은 실험 및 DeFi 마이닝에 사용하고, 대량 자금은 접근하기 위해 여러 단계의 절차가 필요한 금고에 보관한다.
그 위에 가장 중요한 것은 기본적인 보안 습관이다.
지루하고 따분해 보이는 습관이 종종 큰 도움이 된다. 팝업이 아무리 급박하게 보여도 웹사이트에 니모닉 키워드를 입력하지 않는다. 복사 후 붙여넣기를 하면 반드시 하드웨어 화면에서 전체 주소를 다시 확인한다. 자신이 직접 시작하지 않은 거래를 승인하기 전에는 반드시 세 번 생각한다. 출처가 불분명한 링크와 '고객센터' 메시지는 확인되기 전까지 항상 의심해야 한다.
이러한 조치들로는 절대적인 보안을 보장할 수 없으며, 위험은 언제나 존재한다. 그러나 한 가지씩 추가할수록 위험은 조금씩 더 줄어든다.
현재 대부분의 사용자에게 가장 큰 위협은 제로데이 취약점이 아니라, 제대로 검토하지 않은 정보, 좋은 직업 기회처럼 느껴져서 즉시 다운로드하고 실행한 설치 프로그램, 그리고 마트 장보기 리스트와 같은 종이에 적어놓은 니모닉 키워드이다.
수십억 달러를 다루는 사람들이 이러한 위험을 배경 잡음 정도로 간주할 때, 결국 이들은 '취약점'이라는 라벨을 붙인 사례 연구로 남게 될 것이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
