디센트 법률사무소(대표변호사 진현수·홍푸른)는 최근 가상자산을 노린 피싱(Phishing) 범죄가 급증하고 있다며 투자자들의 각별한 주의를 당부했다.
피싱은 문자, 이메일, 메신저 등을 통해 사용자를 속여 가짜 사이트에 접속하게 하거나 민감한 정보를 유도해 자산을 탈취하는 방식으로, 디지털 금융 범죄 중 가장 빈번하게 발생하는 수법 중 하나다. 특히 가상자산 분야에서는 거래소 로그인 정보나 개인 지갑 접근 권한을 탈취하는 방식으로 실질적인 피해가 이어지고 있다.
최근 디센트 법률사무소가 접수한 사건 중에는, 피해자가 구글 계정에 대한 비인가 접속을 허용하게 된 이후, 해당 계정과 동일한 이메일·비밀번호 조합으로 연동된 해외 가상자산 거래소 계정이 무단 접속되어 자산을 탈취당하는 피해를 입었다. 공격자는 이메일 계정에 접근한 뒤, 이중인증(2FA)을 우회하기 위해 백업 코드를 생성했고, 이를 통해 거래소 로그인과 자산 출금을 단숨에 실행한 것으로 확인됐다.
해당 사건처럼 공격자가 직접 피해자의 실수나 부주의를 유도하여 로그인 정보를 확보하고, 외부 계정까지 침투하는 방식은 대표적인 소셜 엔지니어링 기반 피싱 수법에 해당한다. 특히 최근에는 가짜 로그인 페이지, 정상적인 보안 알림을 위장한 링크 등을 통해 비밀번호뿐 아니라 OTP나 보안코드까지 탈취하는 고도화된 수법이 증가하고 있다.
홍푸른 대표변호사는 “단순히 이상한 링크를 클릭하지 않는 것만으로는 부족할 수 있다”며 “이메일과 거래소에 동일한 비밀번호를 사용하는 행위, 2차 인증 백업 설정을 허술하게 관리하는 방식 등이 모두 피싱의 주요 타깃이 된다”고 지적했다.
디센트 법률사무소는 피해 예방을 위해 ▲로그인 계정별 비밀번호 분리 사용 ▲정기적 비밀번호 변경 ▲공식 앱 및 홈페이지 외 접속 금지 ▲2차 인증 기기 및 백업 코드 철저 관리 등을 실천할 것을 권장했다.