블록체인 보안기업 슬로우미스트(SlowMist)가 발표한 '2분기 MistTrack 도난 자금 분석 보고서'에 따르면, 최근 암호화폐 보유자들을 대상으로 한 공격 방식이 더욱 정교해졌으며, 기술적인 진보보다 심리적 조작에 집중하는 경향이 두드러졌다고 밝혔다. 보고서에 따르면, 2분기 동안 해커들이 사용한 기법은 기술 측면에서 큰 변화가 없었지만, 피해자를 속이고 유인하는 수법이 한층 교묘해졌다.
슬로우미스트 운영 책임자 리사(Lisa)는 “공격자들이 더 이상 온체인 공격에만 집중하지 않는다”며 “브라우저 확장 프로그램, 소셜미디어 계정, 사용자 인증 프로세스, 그리고 사용자 행동 자체가 주요 공격 경로로 떠오르고 있다”고 전했다. 특히 사용자의 신뢰를 바탕으로 하는 오프체인 기반 공격이 뚜렷한 증가세를 보이고 있다는 분석이다.
이 중에서도 최근 발견된 사례 중 하나는 ‘보안 플러그인’을 사칭하는 브라우저 확장 프로그램이다. 예컨대 ‘오시리스(Osiris)’라는 이름의 크롬 확장은 피싱 사이트를 탐지한다고 홍보했지만, 실제로는 사용자가 다운로드하는 .exe, .dmg, .zip 파일을 가로채 악성 프로그램으로 교체하는 방식으로 동작했다.
더욱 교묘한 점은 해커들이 사용자를 널리 알려진 공식 웹사이트인 노션(Notion)이나 줌(Zoom) 같은 플랫폼으로 유도했다는 것이다. 사용자가 이러한 사이트에서 소프트웨어를 다운로드했다고 생각할 때 이미 파일이 조작된 상태였으며, 브라우저는 이를 정식 출처에서 받은 파일로 표시해 사용자가 의심하기 어려웠다.
이러한 방식으로 설치된 악성코드는 이용자의 컴퓨터에서 크롬 브라우저의 캐시 데이터, macOS 키체인 정보를 포함한 민감한 정보를 수집했다. 이는 결국 해커가 사용자 지갑의 시드 문구, 개인 키, 로그인 자격 등을 탈취할 수 있는 통로로 작용한다.
이번 보고서는 암호화폐 이용자들 사이에서 보안에 대한 경계를 다시금 높여야 할 필요성을 경고한다. 단순히 기술적 방어를 넘어서, 사용자의 행동과 인식을 노린 공격이 확산되고 있는 만큼, 개인 보안 수칙 준수와 보다 강력한 사용자 교육이 절실하다는 지적이다.