암호화폐에 은퇴 자금을 투자했던 미국의 전직 예술가가 피싱 사기에 속아 270만 달러(약 39억 4,200만 원) 상당의 암호화폐를 모두 잃은 사실이 알려졌다. 피해자는 유명 조각가 제프 쿤스의 작품 제작에 참여했던 조형 예술가로, 사기범은 코인베이스(Coinbase) 고객센터 직원을 사칭해 하드웨어 지갑의 복구 문구(seed phrase)를 유도한 것으로 드러났다.
17일 블룸버그 보도에 따르면 올해 초 미시간주에 거주하는 67세 에드 서먼(Ed Suman)은 자신을 코인베이스 보안담당자라고 밝힌 인물과의 전화 통화 이후 자산 전체를 해킹당했다. 그는 은퇴 이후 암호화폐 투자에 나서 비트코인(BTC) 17.5개와 이더리움(ETH) 225개를 보유하고 있었으며, 이는 그의 전체 은퇴 자금 대부분을 차지했다.
서먼은 자산을 보호하기 위해 일반적으로 보안성이 높다고 알려진 하드웨어 지갑 트레저 모델 원(Trezor Model One)에 암호화폐를 보관하고 있었다. 그러나 지난 3월, 코인베이스에서 보낸 것처럼 꾸며진 문자 메시지를 받은 뒤 상황이 달라졌다. 메시지에는 ‘계정에 무단 접근이 시도됐다’는 경고가 담겨 있었고, 서먼은 이를 확인한 후 발신번호로 전화를 걸었다.
곧이어 ‘브렛 밀러’라는 이름의 남성이 전화를 걸어 자신이 코인베이스 보안팀 소속이라고 소개했다. 그는 서먼의 지갑이 하드웨어 월렛임을 사전에 알고 있었고, 실제 보안 담당자처럼 행동하며 신뢰를 얻었다. 이후 그에게 지갑의 복구 문구를 입력하라고 안내했고, 서먼은 안내에 따라 코인베이스 공식 사이트를 위장한 피싱 페이지에 이 정보를 입력했다.
사건 발생 9일 후, 또 다른 사기범이 코인베이스 직원인 척 전화를 걸어 동일한 방식으로 정보를 얻어냈다. 결과적으로 서먼의 지갑에 담겨있던 모든 암호화폐는 불법 송금되며 흔적도 없이 사라졌다.
전문가들은 하드웨어 지갑 보유자라 하더라도 ‘복구 문구는 절대 온라인에 입력하지 않아야 한다’는 원칙을 강조하고 있다. 보안이 뛰어난 하드웨어 장치도 사용자의 부주의나 사회공학적 공격에는 취약할 수 있다는 지적이다. 특히 거액을 투자한 개인 투자자일수록 정보 보안에 대한 이해가 절실하다는 경고가 나온다.