AI 얼굴 바꾸기, 플러그인 함정, 두 건의 안전 사고로 사용자 손실 1천만 초과

저자: 타오로 재정

안전 사건은 전통 금융에서 이미 적지 않게 발생하고 있으며, 어두운 숲과 같은 익명 화폐 시장에서는 더욱 흔한 존재입니다.

데이터에 따르면, 방금 지나간 5월에 암호화圈에서 37건의 전형적인 안전 사건이 발생했으며, 해킹 공격, 피싱 사기 및 Rug Pull로 인한 총 손실 금액은 1억 5400만 달러에 달하고, 이는 4월에 비해 약 52.5% 증가한 수치입니다.

6월 3일, 두 건의 안전 사건이 다시 발생했으며, 다른 사건들과 약간 다르게 두 사건 모두 대형 거래소와 관련이 있습니다. 과정도 꽤 기이했지만, 이야기의 마지막에는 기쁜 사람과 걱정하는 사람이 있었습니다.

6월 3일, 'Nakamao'라는 사용자 이름을 가진 한 사용자가 X 플랫폼에 게시한 긴 글이 화제가 되었으며, 그는 글에서 "자신이 암호화圈의 희생자가 되었고, 바이낸스 계좌에 있던 100만 달러가 증발했다"고 언급했습니다. 그의 서술 속에서, 연속적인 해킹 도난 사건이 서서히 드러났습니다.

전해진 바에 따르면, 5월 24일, Nakamao는 근무 중이었고 모든 통신 장비를 소지하고 있었지만, 이러한 만반의 준비 속에서도 해커는 바이낸스 계정 비밀번호와 2차 인증 지시(2FA)를 얻지 못한 상태에서, 대량 거래를 통해 그의 계좌에 있는 모든 자금을 훔쳤습니다.

대량 거래란, 간단히 말해 유동성이 부족한 거래 쌍에서 대규모 거래를 통해 거래자가 해커 계좌의 매도를 받아들이고, 최종적으로 상대방은 특정 알트코인으로 실제 자금이나 스테이블 코인을 얻고, 구매자는 판매자로부터 알트코인을 인수하는 방식입니다. 이러한 도난 방식은 거래소에서 드물지 않으며, 22년에는 FTX가 3commas API KEY 유출로 인해 600만 달러에 달하는 대량 거래 도난 사건이 발생했으며, 당시 SBF는 현금 능력을 통해 이 문제를 해결했습니다. 이후 바이낸스에서도 대규모 대량 거래가 발생했습니다. 그러나 이러한 모델의 악의적인 점은, 리스크 관리가 부족한 거래소에게는 단순히 일반적인 거래 행위로 보일 수 있으며, 비정상적인 도난으로 인식되지 않는다는 것입니다.

이 사건에서 QTUM/BTC, DASH/BTC, PYR/BTC, ENA/USDC 및 NEO/USDC가 선택되어 사용자의 대규모 자금을 이용해 20% 이상 상승했습니다. 그러나 해커의 모든 조작에 대해 사용자는 전혀 알지 못했으며, 1시간 이상 지나서야 계좌 정보를 확인하고 이상을 발견했습니다.

안전 회사의 답변에 따르면, 해커는 웹페이지 쿠키를 탈취하여 사용자 계좌를 조작했으며, 간단히 말해 웹페이지에서 저장된 단말 데이터를 이용했습니다. 전형적인 예를 들자면, 우리가 인터넷에서 특정 인터페이스에 들어갈 때, 계정 비밀번호를 입력할 필요 없이 이전에 남긴 방문 기록과 기본 기록 덕분에 자동으로 로그인되는 경우입니다.

이 시점에서, 아마도 단순히 사용자의 부주의로 인한 사건일 수 있지만, 이후 상황은 더욱 기이해졌습니다. 도난당한 후, Nakamao는 즉시 고객 및 바이낸스 공동 창립자 허일과 연락을 취해 UID를 안전 팀에 전달하고, 해커 자금을 신속하게 동결할 수 있기를 희망했습니다. 그러나 바이낸스 직원은 Kucoin과 Gate에 알리는 데 1일이 걸렸고, 예상대로 해커 자금은 이미 사라졌습니다. 해커는 단 하나의 계좌만 사용했으며, 자금을 분산시키지 않고도 바이낸스에서 모든 자금을 안전하게 인출했습니다. 이 과정에서 사용자는 어떤 안전 경고도 받지 못했으며, 더욱 아이러니한 것은 대량 거래의 구매로 인해 다음 날 바이낸스가 그에게 현물 시장 조작자의 초대 이메일을 보냈다는 것입니다.

사건 후 복기에서, 평범한 Chrome 플러그인 Aggr가 Nakamao의 시야에 들어왔습니다. 이 플러그인은 시세 데이터 웹사이트를 확인하는 데 사용되며, 피해자의 설명에 따르면 여러 해외 KOL이 몇 달 동안 이 플러그인을 홍보하는 것을 보았고, 그래서 필요에 의해 다운로드했습니다.

여기서 간단히 설명하자면, 플러그인은 여러 작업을 수행할 수 있으며, 이론적으로는 악의적인 확장을 통해 거래 계좌에 로그인하고, 사용자의 계좌 정보를 조회하여 거래를 수행하며, 자금을 인출하고 계좌 설정을 수정할 수 있습니다. 그 핵심 이유는 플러그인 자체가 광범위한 권한 접근, 네트워크 요청 조작, 브라우저 저장소 접근, 클립보드 조작 등 여러 기능을 갖추고 있기 때문입니다.

플러그인에 문제가 있음을 발견한 후, Nakamao는 즉시 KOL에게 문의하여 사용자에게 이 플러그인을 사용 중지하도록 알리라고 요청했지만, 예상치 못한 일이 벌어졌습니다. Nakamao의 초기 서술에 따르면, 바이낸스는 이미 이 플러그인의 문제를 알고 있었고, 올해 3월에 유사한 사건이 발생했으며, 바이낸스는 이후 해커를 추적했지만, 혹시나 경각심을 주지 않기 위해 즉시 제품 사용 중지를 알리지 않았고, KOL이 해커와 계속 연락을 유지하도록 했습니다. 이 단계에서 Nakamao는 다음 피해자가 되었습니다.

쿠키만으로도 로그인하여 거래할 수 있는 바이낸스의 메커니즘에는 분명 문제가 있지만, 사건 자체가 사용자 부주의로 인해 발생했기 때문에 책임을 묻는 것이 어려워졌습니다.

결국, 사건 후 바이낸스의 대응은 시장에서 큰 파장을 일으켰습니다. 공식 계정은 사건의 원인이 해커 공격이라고 복기했지만, 바이낸스는 AGGR 플러그인에 대한 관련 정보를 주목하지 않았습니다. 한 웨이신 그룹에서 허일은 이 사건에 대해 "이건 사용자의 컴퓨터가 해킹당한 것이고, 신이 구할 수 없다. 바이낸스는 사용자의 장비가 감염된 것에 대해 보상할 수 없다."고 언급했습니다.

바이낸스의 조치에 대해 Nakamao는 명백히 수용할 수 없었으며, 바이낸스가 리스크 관리에 소홀하고 KOL이 바이낸스 팀에 해당 플러그인에 대해 명확히 언급했기 때문에 바이낸스도 알고도 모른 척한 혐의가 있다고 주장했습니다. 여론이 계속해서 확산되자, 바이낸스는 악의적인 플러그인을 신고한 사용자에게 보상을 제공할 것이라고 다시 한 번 응답했습니다.

사건이 여기서 끝날 것이라고 생각했지만, 흥미롭게도 6월 5일 사건이 반전되었습니다. Nakamao는 X 플랫폼에 다시 글을 올려 바이낸스에 공개 사과하며, 정보 차이가 있었고 개인적인 주관적 추정이 있었다고 밝혔습니다. 바이낸스는 실제로 플러그인 관련 상황을 알지 못했으며, 바이낸스가 aggr.trade 웹사이트를 처음 알게 된 것은 5월 12일로, 이전에 언급된 3월이 아니었습니다. 또한 KOL은 바이낸스의 스파이가 아니며, KOL은 계좌 문제에 대해 바이낸스와 소통했을 뿐 플러그인 문제에 대해 이야기한 것이 아닙니다.

이 발언의 진위 여부는 불분명하지만, 태도가 180도 바뀌었으며, 실망에서 공개 사과로 이어진 것을 보면 바이낸스가 분명히 보상을 제공할 것이라는 점은 알 수 있습니다. 보상이 구체적으로 얼마인지는 알 수 없지만요.

한편, 우연히도 6월 3일, 바이낸스 외에도 OKX도 영향을 받았습니다. 한 OKX 사용자가 커뮤니티에서 자신의 계좌가 AI 얼굴 변환으로 도난당했으며, 계좌에 있던 200만 달러가 이체되었다고 주장했습니다. 이 사건은 5월 초에 발생했으며, 해당 사용자의 설명에 따르면, 계좌 도난의 원인은 개인 정보 유출과는 무관하며, 해커가 이메일 주소로 로그인하여 비밀번호 찾기를 클릭하고, 가짜 신분증과 AI 얼굴 변환 비디오를 동기화하여 방화벽을 우회한 후, 전화번호, 이메일 및 구글 인증기를 변경하여 24시간 이내에 계좌의 모든 자산을 도난당했습니다.

비디오를 보지 못했지만, 해당 사용자의 설명으로 미루어 보아 AI 합성 비디오는 매우 조잡했을 가능성이 높습니다. 그럼에도 불구하고 OKX의 리스크 관리 시스템을 뚫고 들어갔기 때문에 사용자는 OKX도 책임이 있다고 생각하며, OKX가 전액 보상해 주기를 희망했습니다. 그러나 자세히 분석해 보면, 범인은 분명히 해당 사용자를 잘 알고 있으며, 사용자의 습관과 계좌 금액을 이해하고 있는 사람으로 판단할 수 있습니다. 사용자는 자신이 친구와 함께 다니고 있다고 언급했습니다. 일반적으로 OKX는 이에 대해 보상하지 않을 것입니다. 현재 이 사용자는 경찰에 신고하여 처리 중이며, 경찰을 통해 보상을 받을 계획입니다.

이 두 사건에 대해 암호화 커뮤니티는 광범위한 논의를 진행했습니다. 물론 안전의 관점에서 볼 때, 많은 사람들이 지갑 자가 관리가 자산의 절대적 통제권을 갖는다고 강조하지만, 거래소는 개인 관리에 비해 여전히 더 안전하다는 점을 인정해야 합니다. 핵심은 소통하는 주체가 늘어난다는 것입니다. 거래소는 적어도 직접적으로 연결할 수 있는 제3자이며, 결과가 어떻든 간에 최소한 조사에 개입할 수 있습니다. 만약 소통이 잘 이루어진다면, 위의 피해자처럼 보상을 받을 수도 있지만, 자가 관리 지갑이 도난당하면 거의 어떤 기관도 보장해 주지 않습니다.

그러나 현재 거래소의 안전 개선은 시급합니다. 대형 거래 플랫폼은 대부분의 사용자의 자산을 통제하고 있으며, 암호 자산은 회수하기 어려운 특성이 있기 때문에 안전이 더욱 중요시되어야 합니다. 전통 금융 사용 시, 거의 매번 로그아웃할 때마다 계정이 통제되는 것을 방지하기 위해 비밀번호를 다시 입력해야 하며, 송금 시에도 일반적으로 추가 인증 방법을 요구합니다. 따라서 커뮤니티는 거래 플랫폼이 비밀번호 잠금 기능을 추가하고, 거래 전에 2FA 인증을 추가하며, IP 변경 후에도 재인증을 요구하거나 다중 안전 MPC 인증을 도입하여 비밀번호를 분산시키고, 사용자 경험을 희생하여 안전성을 높여야 한다고 제안합니다. 그러나 일부 사용자는 반복적인 인증이 고빈도 거래에는 너무 번거롭고 실행 가능성이 낮다고 생각합니다.

허일도 이에 대해 응답하며 "현재 갑작스러운 가격 변동에 대해 대규모 데이터 경고와 인공지능 이중 확인을 추가하고 있으며, 사용자에게 알림을 제공할 것입니다. 플러그인 실행 및 쿠키의 권한에 대한 인증 빈도를 증가시킬 예정이며, 이 상황에서 거래 비밀번호는 적합하지 않지만, 바이낸스는 사용자 차이에 따라 안전 인증 단계를 추가할 것입니다."라고 밝혔습니다.

출발점으로 돌아가서, 두 사건을 통해 사용자는 높은 경각심을 가져야 하며, 자산을 분산하여 보관하는 전제 하에 가능한 한 완전히 독립적인 장비를 사용하여 작업해야 합니다. 분산 인증을 사용하고 편리함을 중심으로 하지 않으며, 비밀번호 면제 및 생체 인증을 피하고, 플러그인을 신중하게 사용하며, 대규모 자산은 하드웨어 지갑에 보관하는 것이 좋습니다.

결국 암호 자산은 실물 자산과 다르며, 실물 자산은 추적이 가능하지만, 암호 자산의 도난은 규제의 제약으로 인해 후속 보상을 받기 매우 어렵고, 심지어 사건을 접수하는 것도 매우 어렵습니다.

이런 사례는 드물지 않습니다. 최근 1818 황금 눈의 보도에서 전형적인 예가 나타났습니다. 피해자 주 씨는 지식인에서 암호화폐 거래로 수천만 수익을 올린다고 주장하는 대가 '청칠칠'을 발견하고, 그와 함께 거래하여 돈을 벌고자 했습니다. 두 사람은 협상 후 계약을 체결하여 수익의 70%는 청칠칠에게, 30%는 주 씨가 가져가기로 하였으며, 손실이 발생할 경우 두 사람이 각각 50%를 부담하기로 했습니다. 거래 과정에서 주 씨는 단순히 따라 하기만 했고, 모든 계좌 소유권은 자신이 가지고 있었습니다.

이렇게 높은 수익 분배 비율과 신뢰할 수 있는 계약이 있었음에도 불구하고 믿을 수 있는 결과를 가져오지 못했습니다. 처음에는 소액의 수익을 올린 후, 피해자는 청칠칠의 "청산 전액 보상"이라는 보장을 믿고 60만 원의 원금을 빌려 100배 레버리지로 ETH를 공매도했습니다. 결국 ETH가 상승하면서 피해자는 모든 자금을 잃게 되었습니다.

이러한 상황은 명백히 사건으로 접수되기 어려운 이유는 모든 조작이 개인의 행위였기 때문이며, 사기나 강제적인 행동이 존재하지 않았기 때문입니다. 결국 경찰과 기자는 어쩔 수 없이 강조할 수밖에 없었습니다. "우리나라 법률에 따르면, 가상 화폐 거래는 보호받지 않으며, 높은 위험이 존재하니 경각심을 가져야 한다."고 말입니다.

결국 주 씨는 마음이 아프고 억울한 표정으로 웃지 못할 결말을 맞이하게 되었습니다.

어쨌든, 여기서 다시 한 번 거래에 참여하는 관객들에게 경고합니다. 어떤 금융 분야에서도, 심지어 암호화圈에서도, 본래 일부 안전성을 희생하고 높은 수익과 자유도를 얻는 분야에서, 안전은 효율성이나 수익보다 훨씬 더 중요합니다. 이는 아마도 탈중앙화를 주장하는 암호화 세계가 중앙집중화에서 벗어나기 어려운 이유 중 하나일 것입니다.

결국 인간의 본성은 이렇습니다. 모든 사람은 누군가가 보장해 주기를 원하며, 아무리 많은 돈을 벌어도 다른 사람에게 옷을 입히고 싶어하지 않습니다.