환상과 미궁: 암호화 세계의 사회 공학과 인간성 게임

저자: ChandlerZ, Foresight News

안전은 사슬과 같아서 가장 약한 고리에 의존합니다. 그리고 사람은 암호 시스템에서 아킬레스건입니다. 시장이 더 복잡한 암호학적 보호 메커니즘을 구축하는 데 열중하고 있을 때, 공격자는 이미 한 가지 지름길을 발견했습니다: 암호를 해독할 필요 없이, 암호를 사용하는 사람을 조작하기만 하면 됩니다.

인력은 가장 약한 고리이자 가장 소홀히 여겨지는 부분입니다. 다시 말해, 인력은 해커가 가장 쉽게 뚫고 이용할 수 있는 취약점이며, 동시에 기업의 보안 투자에서 가장 적게 투자되고 가장 느리게 개선되는 단점입니다.

블록체인 분석 회사 Chainalysis의 최신 보고서에 따르면, 2024년 북한 해커는 47회의 복잡한 공격을 감행하여 전 세계 암호 자산 플랫폼에서 130억 달러의 자산을 탈취했으며, 이는 전년 대비 21% 증가한 수치입니다. 더욱 놀라운 것은, 2025년 2월 21일 Bybit 거래소가 해킹을 당해 약 150억 달러의 암호 자산이 도난당했으며, 이는 암호 역사상 단일 도난 사건의 새로운 기록을 세운 것입니다.

과거의 많은 주요 공격 사건은 전통적인 기술적 취약점을 통해 이루어진 것이 아닙니다. 거래소와 프로젝트 측이 매년 수십억 달러를 기술 방어에 투자하고 있지만, 수학과 코드로 구성된 이 세계에서 많은 참여자들은 사회 공학이 가져오는 위협을 종종 과소평가합니다.

사회 공학의 본질과 진화

정보 보안 분야에서 사회 공학은 독특하고 위험한 공격 수단으로 여겨져 왔습니다. 기술적 취약점이나 암호 알고리즘의 결함을 통해 시스템에 침입하는 것과는 달리, 사회 공학은 주로 인간의 심리적 약점과 행동 습관을 이용하여 피해자를 속이고 조작합니다. 높은 기술적 장벽이 필요하지 않지만, 종종 극히 심각한 손실을 초래할 수 있습니다.

디지털 시대의 도래는 사회 공학에 새로운 도구와 무대를 제공했습니다. 암호 분야에서 이러한 진화는 특히 두드러집니다. 초기 암호 자산 커뮤니티는 주로 기술 애호가와 암호 펑크로 구성되어 있었으며, 이들은 일반적으로 경계심과 일정 수준의 기술적 소양을 가지고 있었습니다. 그러나 암호 자산이 점차 보편화됨에 따라, 관련 기술에 익숙하지 않은 새로운 사용자들이 시장에 진입하게 되었고, 이는 사회 공학 공격을 위한 비옥한 토양을 제공했습니다.

한편, 높은 익명성과 되돌릴 수 없는 거래 특성 덕분에 암호 자산은 공격자가 이익을 수확하기에 이상적인 목표가 되었습니다. 일단 자금이 그들이 통제하는 지갑으로 이전되면, 거의 회수할 수 없습니다.

사회 공학이 암호 분야에서 쉽게 성공할 수 있는 이유는 인간의 의사 결정 과정에서 발생하는 다양한 인지 편향에 크게 기인합니다. 확인 편향은 투자자가 자신의 기대에 부합하는 정보만을 주목하게 만들고, 군중 심리는 시장 거품을 유발하기 쉬우며, FOMO(놓치는 것에 대한 두려움) 감정은 사람들이 손실에 직면했을 때 비이성적인 선택을 하도록 만듭니다. 공격자는 이러한 심리적 약점을 능숙하게 활용하여 이를 "무기화"합니다.

복잡한 암호 알고리즘을 해독하려고 시도하는 것보다 사회 공학 공격을 감행하는 비용이 더 낮고 성공률이 더 높습니다. 정교하게 위조된 피싱 이메일이나 겉보기에는 정규처럼 보이지만 함정이 숨겨진 구직 초대장은 기술적 문제에 직면하는 것보다 훨씬 더 효과적입니다.

일반적인 사회 공학 기법

사회 공학 공격 기법은 다양하지만, 핵심 논리는 여전히 "대상의 신뢰와 정보를 얻는 것"에 초점을 맞추고 있습니다. 다음은 몇 가지 일반적인 수단에 대한 간략한 설명입니다:

피싱(Phishing)

이메일/문자 피싱: 거래소, 지갑 서비스 제공자 또는 기타 신뢰할 수 있는 기관으로 가장한 링크를 이용하여 사용자가 시드 구문, 개인 키, 계정 비밀번호 등의 민감한 정보를 입력하도록 유도합니다.

소셜 플랫폼 계정 사칭: 트위터, 텔레그램, 디스코드 등의 플랫폼에서 "공식 고객 서비스", "유명 KOL" 또는 "프로젝트 팀"을 사칭하여 가짜 링크나 가짜 이벤트 정보를 포함한 게시물을 게시하고, 사용자가 클릭하여 키를 입력하거나 암호 화폐를 전송하도록 유도합니다.

브라우저 확장 또는 가짜 웹사이트: 실제 거래소나 지갑 웹사이트와 매우 유사한 짝퉁 웹사이트를 구축하거나 악성 브라우저 확장을 설치하도록 유도하여, 사용자가 이러한 페이지에서 입력하거나 권한을 부여하면 키가 유출됩니다.

가짜 고객 서비스/사칭 기술 지원

텔레그램이나 디스코드 그룹에서 "관리자" 또는 "기술 고객 서비스"를 사칭하여 충전 미완료, 출금 실패, 지갑 동기화 오류 등의 문제를 해결해 주겠다고 하며, 사용자가 개인 키를 넘기거나 특정 주소로 코인을 전송하도록 유도합니다.

또한, 개인 메시지나 소규모 그룹을 통해 피해자를 유인하여 "잃어버린 코인을 되찾아줄 수 있다"고 속여 더 많은 자금을 유도하거나 키를 얻으려 할 수 있습니다.

SIM 카드 교환(SIM Swap)

공격자는 통신사 고객 서비스를 매수하거나 속여서 피해자의 전화번호를 공격자에게 전환합니다. 전화번호가 도용되면, 공격자는 문자 인증, 이중 인증(2FA) 등을 통해 거래소, 지갑 또는 소셜 계정의 비밀번호를 재설정하여 암호 자산을 탈취할 수 있습니다.

SIM Swap은 미국 등지에서 자주 발생하며, 여러 국가에서도 이러한 사건이 발생하고 있습니다.

사회 공학과 악의적인 채용/헤드헌팅 결합

공격자는 채용을 가장하여 목표의 이메일이나 소셜 미디어 계정으로 악성 파일이나 링크가 포함된 "구직 초대"를 보내어 목표가 트로이 목마를 다운로드하고 실행하도록 유도합니다.

공격 대상이 암호 회사의 내부 직원이나 핵심 개발자, 또는 개인이 많은 코인을 보유한 "중증 사용자"인 경우, 회사의 인프라가 침해되거나 키가 도난당하는 심각한 결과를 초래할 수 있습니다.

2022년 Axie Infinity의 Ronin 브리지 보안 사고에 따르면, 이 공격 사건은 가짜 채용 광고와 관련이 있다고 The Block이 보도했습니다. 내부 소식통에 따르면, 해커는 링크드인을 통해 Axie Infinity 개발사 Sky Mavis의 한 직원에게 연락하여 여러 차례 면접을 거쳐 높은 연봉으로 채용되었다고 알렸습니다. 이후 해당 직원은 PDF 문서로 제공된 위조된 채용 통지서를 다운로드하여 해커의 소프트웨어가 Ronin 시스템에 침투하게 되었고, 해커는 Ronin 네트워크의 아홉 개 검증자 중 네 개를 공격하고 장악했습니다. 단 하나의 검증자만 남겨두고 완전히 통제하지 못했으며, 이후 해커는 철회되지 않은 권한을 가진 Axie DAO를 통제하여 최종 침입을 실현했습니다.

가짜 에어드롭/가짜 보상 코인 활동

트위터, 텔레그램 등 플랫폼에서 발생하는 가짜 "공식" 활동, 예를 들어 "x 개의 코인을 특정 주소로 전송하면 두 배로 반환된다"는 등의 내용은 실제로 사기입니다.

공격자는 또한 "화이트리스트 에어드롭", "테스트넷 에어드롭"이라는 명목으로 사용자가 알 수 없는 링크를 클릭하거나 피싱 웹사이트 지갑에 연결하도록 유도하여 키를 얻거나 자금을 탈취합니다.

2020년, 오바마, 바이든, 버핏, 빌 게이츠 등 여러 미국의 정치 및 비즈니스 유명 인사와 여러 유명 기업의 소셜 미디어 트위터 계정이 해킹당했습니다. 해커는 비밀번호를 탈취하고 계정을 장악한 후, 두 배로 반환하겠다는 유인책으로 사용자에게 암호 화폐 자금을 특정 계좌 주소로 전송하도록 유도했습니다. 최근 몇 년 동안 유튜브에는 여전히 마스크를 사칭한 "두 배 반환" 사기가 많이 존재합니다.

내부자 침투/퇴사 직원 사건

일부 암호화폐 회사나 프로젝트 팀의 퇴사 직원, 또는 공격자에게 매수된 재직 직원이 내부 시스템과 운영 프로세스에 대한 익숙함을 이용하여 사용자 데이터베이스, 개인 키를 탈취하거나 무단 거래를 실행합니다.

이러한 상황에서는 기술적 취약점과 사회 공학이 더욱 긴밀하게 결합되어 대규모 손실을 초래할 수 있습니다.

심어져 있는 "백도어" 또는 이미 변조된 가짜 하드웨어 지갑

공격자는 eBay, 중고나라, 텔레그램 그룹 또는 기타 전자상거래/중고 거래 플랫폼에서 시장 가격보다 낮거나 정품 보증 등의 미끼로 하드웨어 지갑을 판매합니다. 실제로는 장치 내부의 칩이나 펌웨어가 교체되어 있습니다. 또한, 사용자가 의도치 않게 리퍼비시 제품이나 중고 제품을 구매할 때, 판매자가 미리 개인 키를 삽입해 놓은 경우가 있습니다. 사용자가 자금을 입금하면 공격자는 동일한 개인 키를 사용하여 언제든지 자금을 인출할 수 있습니다.

또한, 데이터 유출 사건 후 사용자가 제조사(예: Ledger)로 가장하여 무료로 장비를 교체하거나 보안 업그레이드 장비를 받는 경우가 있습니다. 포장 내에는 새로운 시드 문구 카드와 사용 설명서가 포함되어 있습니다. 사용자가 이러한 사전 설정된 시드 문구를 사용하거나 원래의 시드 문구를 가짜 장비로 이전하면, 공격자는 해당 지갑의 모든 자산 접근 권한을 장악할 수 있습니다.

위의 예시는 빙산의 일각에 불과하며, 사회 공학의 다양성과 유연성은 암호화폐 분야에서 그 파괴력을 더욱 두드러지게 만듭니다. 대다수의 일반 사용자에게 이러한 공격은 종종 방어하기 어렵습니다.

탐욕과 두려움

탐욕 심리는 항상 가장 쉽게 조작될 수 있는 약점입니다. 시장이 극도로 활발할 때, 일부 사람들은 군중 심리에 의해 갑자기 인기를 끌고 있는 프로젝트에 몰려듭니다. 두려움과 불확실성 또한 사회 공학에서 자주 사용되는 돌파구입니다. 암호가 극심한 변동성을 보이거나 프로젝트에 문제가 발생할 때, 사기꾼은 "긴급 통지"를 발표하여 프로젝트가 극단적인 위험에 처해 있다고 주장하며, 사용자가 자금을 소위 안전한 주소로 빨리 이전하도록 유도합니다. 많은 초보자들은 손실에 대한 두려움으로 인해 냉철한 사고를 유지하기 어려워, 종종 이러한 공황 감정에 휘말리기 쉽습니다.

또한, FOMO 심리는 암호 생태계에서 더욱 두드러지게 나타납니다. 다음 상승장이나 다음 비트코인을 놓치는 것을 두려워하여 사람들이 자금을 급히 투입하고 프로젝트에 참여하게 되지만, 위험과 진위를 기본적으로 구별할 능력이 부족합니다. 사회 공학 공격자는 기회가 잠깐 사라지며, 한 번 놓치면 다시는 두 배로 만들 수 없는 분위기를 조성하기만 하면, 일부 투자자들이 스스로 함정에 빠지게 할 수 있습니다.

위험 인식 및 예방

사회 공학이 방어하기 어려운 이유는 그것이 인간의 인지 맹점과 심리적 약점을 겨냥하기 때문입니다. 투자자로서 다음의 핵심 사항에 유의해야 합니다:

안전 의식 향상

개인 키와 시드 문구를 함부로 유출하지 마십시오. 어떤 상황에서도 타인에게 자신의 개인 키, 시드 문구 또는 민감한 신원 정보를 누설하지 마십시오. 진정한 공식 팀은 거의 개인 메시지를 통해 이러한 정보를 요구하지 않습니다.

"비합리적인 수익 약속"에 주의하십시오. "제로 리스크 고수익", "원금 수 배 반환"이라고 주장하는 활동은 극히 사기일 가능성이 높습니다.

링크 및 출처 검증

브라우저 플러그인이나 공식 경로를 사용하여 웹사이트를 확인하십시오. 암호화폐 거래소, 지갑 또는 탈중앙화 애플리케이션(DApp)의 웹사이트는 도메인이 정확한지 반복적으로 확인해야 합니다.

출처가 불분명한 링크를 함부로 클릭하지 마십시오. 상대방이 "에어드롭 혜택"이나 "공식 보상"이라고 주장할 경우, 즉시 정식 소셜 미디어나 공식 경로에서 확인해야 합니다.

커뮤니티 및 소셜 미디어 검증 강조

공식 계정의 인증 마크, 팬 수 및 상호작용 기록을 확인하십시오. 낯선 개인 메시지 그룹을 무작정 추가하거나 그룹 내의 알 수 없는 링크를 클릭하는 것을 피하십시오.

"공짜 점심" 정보에 대해서는 의심의 시각을 유지하고, 더 많이 보고 질문하며, 경험이 있는 투자자나 공식 경로에 확인하십시오.

건전한 투자 심리 구축

시장 변동성을 이성적으로 바라보고, 단기적인 폭등과 폭락의 감정에 휘말리지 않도록 하십시오.

어떤 상황에서도 최악의 상황을 염두에 두고, "놓치는 것"을 두려워하여 잠재적 위험을 간과하지 마십시오.

인간 요소의 영원한 중요성

인간성은 사회 공학이 반복적으로 성공할 수 있는 기초입니다. 공격자는 군중 심리, 탐욕, 두려움, 불안감 및 FOMO(놓치는 것에 대한 두려움)와 같은 특성을 겨냥하여 다양한 사기를 설계합니다.

블록체인 및 암호 분야의 기술적 진화와 비즈니스 모델의 지속적인 확장은 사회 공학 수단도 진화하게 만들 것입니다. 딥페이크 기술의 발전은 가까운 미래에 더 큰 위협을 나타낼 수 있으며, 공격자는 합성된 비디오 및 오디오를 통해 프로젝트 책임자를 사실적으로 사칭하고 피해자와 실시간으로 연결될 수 있습니다. 다차원 사회 공학도 업그레이드될 것이며, 공격자는 여러 소셜 플랫폼을 가로질러 오랜 시간 동안 잠복하며 정보를 수집한 후, 정교하게 설계된 감정 조작을 통해 목표를 공격할 수 있습니다.

사회 공학의 지속적인 존재는 기술이 아무리 발전하더라도 인간 요소가 여전히 시스템의 핵심 구성 요소임을 상기시킵니다. 사회 공학의 영향을 완전히 제거하는 것은 비현실적일 수 있으며, 코드와 사람 모두에 동시에 주목해야만 더 탄력적인 시스템을 구축하는 데 도움이 될 것입니다.