사이버 보안
암호화폐의 숨겨진 가격: 금융 자유와 피싱이 만나다
암호화폐 가격이 상승함에 따라, 암호화폐 보유에 대한 공격도 증가하고 있습니다. 실제로 사이버 범죄자들은 매일 더 정교해지고 있으며, 코드에서 인간의 취약점을 악용하는 방향으로 전환하고 있습니다.
이러한 공격은 사이버 범죄자들이 복잡한 사이버 보안 방어 장벽을 뚫지 않고도 암호화폐 사용자를 사기하기 쉽게 만듭니다.
이러한 피싱 사기 중 하나에서, 암호화폐 투자자가 300만 달러를 잃었습니다. 그 사용자는 악성 블록체인 거래에 서명하기 전에 계약 주소를 확인하지 않았습니다. 그리고 단 한 번의 클릭으로, $3백만 상당의 USDT가 사용자의 지갑에서 빠져나갔습니다.
블록체인 분석 플랫폼 Lookonchain이 X(구 Twitter) 게시물에서 언급했습니다:
“누군가 피싱 공격의 피해자가 되어 악성 전송에 서명하고 3.05M $USDT를 잃었습니다. 경계를 유지하고, 안전을 지키세요. 한 번의 잘못된 클릭이 지갑을 비울 수 있습니다. 완전히 이해하지 못한 거래에 절대 서명하지 마세요.”
하지만 이것은 무슨 의미일까요? 좋습니다, 이해해 봅시다. 우선, 거래는 블록체인이라고 불리는 디지털 분산 원장에 기록되는 데이터 항목입니다.
자산을 전송하는 등의 행동을 시작하면, 거래가 생성됩니다, 여기에는 송신자, 수신자, 금액 및 관련 조건에 대한 정보가 포함됩니다. 거래는 그 후 네트워크의 노드에 전파되어 검증을 거친 뒤 블록에 포함되고 최종적으로 블록체인에 추가됩니다.
이제 송신자로서, 계좌에서 다른 계좌로 가치/자금을 전송할 때, 수신자의 주소와 금액을 입력하고 거래를 승인하거나 서명해야 합니다.
거래를 승인한다는 것은 이를 진행하도록 허가한다는 의미입니다. 이 확인은 사용자가 개인 키로 거래를 디지털 서명해야, 거래가 실행되고, 금액이 지갑에서 수신자에게 이동하며, 최종적으로 블록체인에 기록됩니다.
반대로, 다른 사람에게 자금을 보내달라고 요청할 때는 거래를 요청하는 것이며, 이를 위해 공개 주소를 제공해야 합니다.
주소는 고유한 계정 식별자이며, 이를 확인함으로써 유효하고 올바른 사람에게 자금을 보내고 있음을 보장합니다. 편의를 위해 지갑 주소의 앞뒤 몇 글자만 확인할 수 있지만, 항상 확신할 수는 없습니다. 따라서 특히 큰 금액을 이동할 때는 최선의 방법이 아닙니다.
각 암호화폐 지갑은 고유한 문자 조합을 가지고 있으므로, 이를 검토하고 확인하십시오.
게다가, 암호화폐 사용자가 항상 두 번 확인하는 것이 중요합니다 서명 요청과 사용 중인 웹사이트 또는 서비스의 URL을 확인하십시오. 또한 Lookonchain이 언급했듯이, 항상 “공식 출처에서 계약 주소를 확인”하십시오.
한 번의 클릭이 수백만 달러를 잃게 할 수 있다: 피싱이 암호화폐 사용자를 능가하는 방법
피싱 공격은 암호화폐 분야에서 흔히 발생하는 일이 되었습니다. 바로 지난 주에 또 다른 피싱 공격 피해자가 $90만 이상의 자산을 잃었습니다. 이 특정 공격은 피해자가 악성 승인 거래에 서명한 후 최대 457일이 지나서 발생했습니다.
따라서 이러한 실수를 방지하려면 블록체인에 대한 이해와 자신이 취약한 다양한 공격 유형을 강화해야 합니다. 먼저 피싱에 대해 더 깊이 살펴보겠습니다.
피싱은 가장 흔한 사이버 공격 유형 중 하나입니다. 피싱이라는 용어는 원래 사기성 이메일을 사용해 정보를 “낚아채는” 해커들을 식별하기 위해 사용되었습니다. 하지만 오늘날 피싱 공격은 점점 더 정교해져 이메일뿐만 아니라 웹사이트, 문자, 음성, 소셜 미디어 및 기타 채널을 활용해 인간의 신뢰와 의사결정 과정을 악용하려 합니다.
이는 사람들을 속여 지갑의 개인 키나 사용자 이름, 비밀번호, 은행 계좌 정보, 신용카드 번호 등 개인 정보를 제공하도록 유도합니다.
피싱은 실제로 기술적 취약점보다 인간 심리를 이용하는 사회공학의 인기 있는 형태입니다. 네트워크와 자원을 직접 겨냥하는 것이 아니라, 사회공학 공격은 인간의 실수와 압박 전술을 이용해 무방비한 피해자를 무의식적으로 자신에게 해를 끼치도록 조작합니다.
그 때문에 표준 모니터링 도구는 이러한 진행 중인 공격을 포착하는 데 크게 성공하지 못합니다.
위협 행위자는 심리적으로 사람을 조작하여 개인 정보를 누설하거나 악성 링크를 클릭하고, 첨부 파일을 열거나 악성 파일을 다운로드하는 등 특정 행동을 하도록 사용자를 현혹합니다.
접근하기 위해 공격자는 자신을 합법적인 사람, 기관 또는 출처로 위장합니다. 일단 피해자의 신뢰를 얻으면, 얻은 정보를 사용해 자금을 탈취합니다.
IBM의 데이터 유출 비용 보고서에 따르면, 피싱은 실제로 가장 흔한 초기 데이터 유출 경로입니다.
CertiK의 연간 Web3 보안 보고서. 2024년에 거의 300건의 피싱 공격이 발생했으며, 그 중 최소 세 건은 피해자에게 1억 달러 이상의 손실을 초래했습니다.
피싱 공격으로 공격자들은 10억 달러가 넘는 도난된 암호화폐 자산을 획득했습니다. 이러한 수치는 실제로 “보수적”이며, 미보고된 사건들 때문에 실제 수치는 훨씬 더 높을 것으로 예상됩니다.
이러한 공격의 대상은 일반인뿐만 아니라 주요 기업 및 정부 기관까지 포함됩니다. 암호화폐 분야에서는 지갑, 거래소, 토큰 판매까지가 공격 대상이므로, 암호화폐 사용자는 자금을 보호하는 방법을 인지하는 것이 중요합니다.
일반적인 암호화폐 피싱 공격에는 다음이 포함됩니다:
- Spear phishing attack – 대상에 대한 사전 지식을 바탕으로 피셔가 이메일을 합법적으로 보이게 맞춤화합니다.
- Whaling attack – 이 공격은 조직 내 고위 인물을 대상으로 하며, 즉 고래들을 대상으로 하여 훨씬 큰 영향을 미칩니다.
- Clone phishing attack – 공격자는 대상이 과거에 받은 메시지를 복제합니다.
- Deceptive phishing attack – 기술을 사용해 실제 회사를 가장하고 대상에게 사이버 공격을 겪고 있다고 알림으로써 악성 링크를 클릭하도록 유도합니다.
- Pharming attack – 올바른 URL을 입력해도 피해자를 가짜 웹사이트로 리디렉션합니다.
- Evil twin attack – 합법적인 네트워크와 동일한 이름으로 가짜 공용 Wi‑Fi를 설정하여 표적을 잡는 공격입니다.
- Angler phishing attack – 가짜 소셜 미디어 게시물을 사용해 피해자를 속이는 공격입니다.
- Smishing or SMS phishing attack – 합법적인 회사에서 보낸 것처럼 보이는 문자 메시지에 악성 링크를 포함해 전송합니다.
- Vishing or Voice phishing attack – 발신자 ID를 위조하여 마치 합법적인 조직에서 걸려온 것처럼 보이게 합니다.
- DNS hijacking – 합법적인 웹사이트의 DNS 레코드를 변경하여 가짜 웹사이트로 리디렉션합니다.
- Fake browser extensions – 합법적인 것처럼 보이는 악성 플러그인입니다.
- Search engine phishing attack – 해커가 검색 결과 상위에 자신의 웹사이트 링크를 배치하도록 조작합니다.
- Ice phishing – 피해자에게 가짜 거래를 보내고 개인 키로 서명하도록 요구합니다.
- Phishing bots – 피싱 공격을 자동화하고 대량의 피싱 이메일을 전송하는 데 사용되는 컴퓨터 프로그램입니다.
암호화폐에서 피싱 공격은 일반적으로 공격자가 잠재적 피해자에게 이메일이나 메시지를 보내면서 시작되며, 이는 합법적인 출처에서 온 것처럼 보입니다.
그 메시지는 실제와 유사한 가짜 웹사이트로 연결되는 링크를 포함하고 있습니다. 링크를 클릭하고 로그인 정보를 입력하면, 공격자는 이를 이용해 계정에 접근합니다.
가짜 이메일과 웹사이트를 구별하기는 어렵지만, 사용 중인 제품이나 서비스를 숙지하면 사기자를 식별할 수 있습니다. 맞춤법이나 문법 오류를 찾아볼 수도 있습니다. 기업 이메일 대신 공용 이메일를 사용하는 경우 의심을 가져야 합니다.
이러한 피싱 공격으로부터 스스로를 보호하는 방법에 대해 말하자면, 이메일에 항상 주의하고 신뢰하지 않는 출처의 링크는 절대 클릭하지 않아야 합니다. 앱을 다운로드할 때는 평판이 좋은 플랫폼만 사용하고 공용 Wi‑Fi 네트워크를 피하십시오. 시스템을 최신 상태로 유지하고 강력한 비밀번호를 사용하며 2FA를 활성화하세요. 또한 암호화폐 보유 사실을 남에게 자랑하지 말고, 개인 정보를 아무에게도 제공하지 마십시오.
피싱을 넘어: 암호화 범죄의 확대되는 무기고
피싱 공격은 암호화폐에서 흔한 공격 벡터 중 하나에 불과합니다. 가짜 웹사이트, 이메일, 메시지를 사용해 사용자를 속여 개인 키나 시드 구문을 제공하도록 유도하는 것 외에도, 사이버 범죄자들은 여러분의 암호화폐 자산이나 자금을 손에 넣기 위해 다양한 다른 방법을 사용합니다.
Rug pull은 팀이 프로젝트를 구축하기 위해 대중으로부터 자금을 모은 뒤 그 돈을 가지고 도주하는 경우를 말합니다. 또한 내부자가 가격 조작을 조정해 인위적으로 가격을 올린 뒤 투자자들을 끌어들여 빠르게 매도하는 pump and dump도 있습니다.
암호화폐에서 사기를 당하는 것은 실제로 꽤 흔한 일입니다.
연방수사국(FBI) 산하 인터넷범죄신고센터(IC3)의 보고에 따르면, 2024년에 미국인들은 “엄청난 166억 달러”를 잃었으며, 그 중 사기가 대부분을 차지했습니다. 이 기관은 암호화폐 관련 사기로 인해 93억 달러의 손실을 추정했습니다.
60세 이상 개인이 가장 큰 피해를 입었으며, 해당 기관은 약 33,000건의 신고와 28억 달러의 손실을 기록했습니다.
해킹은 여전히 업계를 괴롭히고 있으며, 이는 공격자가 시스템에 무단 접근하는 것을 의미합니다. 블록체인 보안 업체 TRM Labs에 따르면, 이러한 행위는 2024년에 전년 대비 17% 증가했습니다. 북한 연계 그룹만으로도 거의 8억 달러를 탈취했습니다.
스마트 계약 취약점은 코드의 버그나 취약점을 이용해 자금을 탈취하는 또 다른 인기 있는 공격 벡터입니다. 가 사용되어 자금을 훔칩니다. 크로스체인 브리지는 특히 도난에 취약하여, 범죄자들이 대규모 암호화폐를 빼돌리는 데 악용합니다.
개인 키와 시드 구문 유출 역시 주요 공격 벡터로 남아 있습니다. 개인 키를 탈취하기 위해 범죄자들은 피싱 공격뿐만 아니라 악성코드, 클립보드 탈취, 키로거, 그리고 보안이 취약한 저장소도 활용합니다.
에 따르면 TRM Labs의 암호화 범죄 보고서, 지난해 불법 암호화폐 활동이 24% 감소한 반면, 랜섬웨어 지불액은 사상 최고치를 기록했습니다. 랜섬웨어는 사이버 범죄자가 피해자의 시스템에 접근해 개인 데이터를 암호화하고, 몸값이 지불될 때까지까지 차단하는 악성코드 유형입니다.
FBI의 2024년 보고서는 랜섬웨어가 “다시 한 번 핵심 인프라에 가장 광범위한 위협이며, 2023년에 비해 신고 건수가 9% 증가했다”고 밝혔습니다.
이 모든 것 외에도, 초국가 조직 범죄 그룹은 암호화폐를 자금 세탁 및 인신매매, 마약, 야생동물 밀수 등에 점점 더 많이 사용하고 있습니다. 거의 110억 달러 규모의 불법 암호화폐가 받아들여졌으며 “해킹, 갈취, 인신매매 또는 사기”에 연루된 지갑에 의해 보관되었습니다.
이러한 수치는 가 보고되었습니다 블록체인 분석 업체 Chainalysis에 의해 보고되었으며, 전체 불법 암호화폐 규모가 2024년 $51 billion. 그러나 전체 시장 대비 불법 목적에 사용되는 암호화폐 비중은 3년 만에 최저 수준으로 떨어졌습니다. Chainalysis는 다음과 같이 적었습니다:
“2024년은 불법 행위자들에게 유입된 금액이 사상 최고였을 가능성이 높으며, 이 수치는 오늘까지 식별된 불법 주소로의 유입을 기반으로 한 하한 추정치입니다.”
현재, 올해를 살펴보면, 범죄자들은 2025년 상반기만에 이미 암호화폐 서비스에서 21억 7천만 달러를 탈취했습니다. 이는 보고서에 의한 체인알리시스 보고서에 따르면. 이 수치는 예상됩니다 연말까지 40억 달러로 상승할 것으로.
이 자금의 대부분은 가 탈취되었으며 암호화폐 거래소 Bybit에서 발생했습니다. 북한 연계 해커에 의한 15억 달러 규모의 강탈은 암호화폐 역사상 가장 큰 사건으로 추정됩니다.
개인과 플랫폼 모두에서 도난당한 암호화폐의 총 가치는 이미 올해 상반기에 거의 30억 달러에 이르렀습니다. 이는 개인 암호화폐 지갑에 대한 공격이 증가함에 따라 나타난 현상입니다.
전체 절도 중 개인 지갑이 23% 이상을 차지했습니다. “보고서에 따르면 \”개인 지갑을 대상으로 한 절도는 현재 온체인에 85억 달러 규모의 암호화폐를 보유하고 있습니다.\” 공격자들은 자금에 접근하기 위해 물리적 폭력과 강압을 사용하고 있습니다.
이 암울한 상황에 맞서, 암호화폐 사용자는 부를 보호하기 위한 엄격한 조치를 취하는 것이 중요합니다. 가장 중요한 단계는 스스로 교육받아 일반적인 사기와 위협에 대해 최신 정보를 유지하는 것입니다. 그 다음, 하드웨어 지갑을 사용해 개인 키를 오프라인에 보관하고, 어떠한 상황에서도 시드 구문을 누구와도 공유하지 마십시오.
암호화 부의 양날 검
보시다시피, 암호화폐 사용자는 매년 수십억 달러를 잃고 있습니다. 사이버 범죄자들은 다양한 전술을 사용해 무방비한 사용자를 속여 개인적인 민감 정보나 자금을 제공하도록 유도합니다.
한편으로는 암호화폐가 범죄자를 부유하게 하는 듯 보이지만, 다른 한편으로는 전 세계 사람들에게 금융 자유를 얻을 수 있게 해줍니다.
분산되고 투명하며 불변의 블록체인 기반 위에 구축된 암호화폐는 전통적인 금융 시스템에 대한 탈중앙화된 대안을 제공합니다.
여기서는그냥 은행이나 송금 서비스와 같은 중개인이 필요하지 않으며, 이는 비용을그리고 시간을 크게 절감합니다. 이는 전 세계 무역에 중대한 영향을 미칩니다. 중앙 권한이나 정부·금융기관과의 연결 고리가 없기 때문에, 단일 실패 지점을 없앨 뿐만 아니라 기업들에게와 국가들에게도 가치 있는 대안이 됩니다.
한편, 전 세계 개인들은 암호화폐의 개방적이고 국경 없는 특성을 활용할 수 있습니다.
오늘날에도 전 세계적으로 전통적인 은행 서비스를 이용하지 못하는 성인 14억 명이 있습니다. 미국에서도 4.2% 가구는 은행 서비스를 이용하지 못하고 있으며, 소외된 그룹에서는 비율이 더 높습니다. 이 모든 사람들은 스마트폰과 인터넷을 통해 제한 없이 광범위한 암호화폐 분야에 쉽게 접근할 수 있습니다.
낮은 진입 장벽 덕분에 전 세계 누구든지, 성별·종교·정치적 입장에 관계없이, 은행 없이도 디지털 자산을 사용해 가치를 송금하고 받을 수 있습니다.
또 다른 암호화폐 활용 사례는 가치 저장이며, 특히 인플레이션이 높거나 경제가 불안정한 국가에서 그렇습니다.
로이터 보고서에 따르면 보도했습니다 볼리비아인들이 현지 볼리비아노 통화 가치 하락에 대비해 점점 더 암호화폐를 활용하고 있습니다. 심지어 해당 국가의 중앙은행도 재차 강조했습니다 디지털 자산 거래가 급증했으며, 2025년에 530% 이상 증가했습니다 전년 대비 전년도.
“이 도구들은 송금, 소액 구매 및 결제 등 외화 거래에 대한 접근성을 향상시켜, 다양한 분야의 소규모 및 중소기업 소유주와 전국 가정에 혜택을 주었습니다.”
– 은행은 성명에서 이렇게 말했습니다
한편, 케냐, 베네수엘라, 나이지리아와 같은 개발도상국에서는 암호화폐 채택이 금융 포용성과 경제 지속 가능성을 크게 향상시켰습니다.
따라서 암호화폐는 전통적인 은행 시스템에 도전하고 완전히 새로운 금융 서비스 방식을 제공하는 변혁적인 힘으로 명확히 부상했습니다. 개방적이고 탈중앙화된 기반을 통해 암호화폐는 지리적 장벽과 전통 금융의 높은 비용을 해소하여 금융 포용성을 확대하고 있습니다.
하지만 디지털 화폐가 돈의 개념을 변화시키고 개인에게 금융 주권을 부여했지만, 사기, 사기성 행위 및 보안 위험과 같은 새로운 도전 과제도 도입하여 양날의 검이 되었습니다.
금융 시스템이 탈중앙화되고 민주화되는 세상에서, 통제권이 기관에서 개인으로 이동하는 것은 힘을 실어주지만 동시에 위험합니다. 암호화폐를 사용하면 자신의 돈을 직접 통제하고, 자신의 소유한 키를 보유하게 되며, 그와 함께 자신의 운명을 결정하게 됩니다.
속담처럼, 큰 힘에는 큰 책임이 따르며, 암호화폐에서는 그 책임이 전적으로 사용자에게 있습니다.
이는 금융적 권한 부여만으로는 충분하지 않으며, 인식도 마찬가지로 중요함을 의미합니다. 따라서 암호화폐 사용자로서 항상 경계하고 최신 정보를 유지하십시오. 그리고 가장 중요한 것은 절대 신뢰하지 말고, 항상 검증하십시오!
