글로벌 가상자산 플랫폼 크립토닷컴(Crypto.com)은 최근 발간한 보고서를 통해 사회 공학이 사이버 해킹의 주요 수단으로 자리 잡고 있으며, 이로 인해 사용자 자산 보호에 경종을 울리고 있다고 경고했다. 보고서는 특히 사용자의 심리를 조작해 민감한 정보에 접근하는 사회 공학적 수법이, 기술적 보안보다는 인간의 약점을 노린다는 점에서 가상자산 업계의 가장 중대한 리스크 중 하나로 떠오르고 있다고 분석했다.
사회 공학은 단순한 해킹 기술을 넘어, 사람의 신뢰와 두려움을 악용하는 복합적인 공격 방식이다. 보고서에 따르면 피싱, 사칭, 유혹, 퀴드 프로 쿼(quid pro quo), 베이팅 등 다양한 접근법이 통합적으로 활용되며, 대형 보안 사고로 이어지는 사례도 속출하고 있다. 특히 2025년 발생한 바이비트 해킹에서는 북한 해커 조직인 라자루스 그룹이 공급망 공격과 사회 공학 기법을 복합적으로 활용해 15억 달러 상당의 이더리움(ETH)을 탈취한 것으로 드러났다. 당시 신뢰받던 서드파티 개발자를 대상으로 한 정교한 심리적 조작이 해킹의 핵심 동기로 작용했다.
크립토닷컴 리서치는 이 사건에서 라자루스 그룹이 오픈 소스 기여자를 가장해 개발자를 속였으며, 악성 도커 이미지가 포함된 파이썬 프로젝트를 실행하도록 유도했다고 서술했다. 해커는 해당 개발자의 맥북을 감염시켜 아마존 웹서비스(AWS) 클라우드 세션을 가로채고, 결국 대규모 자금을 유출할 수 있었다. 주입된 악성 스크립트는 정식 사용자 인터페이스(UI)처럼 보이는 바이비트의 도구에 침입해, 합법 사용자로 하여금 자신도 모르게 해커 주소로 자금을 전송하게 만들기도 했다.
이 같은 사회 공학 해킹은 단순한 보안 솔루션만으로는 차단하기 어렵다. 보고서는 이를 방지하기 위한 핵심 조치로 ▲상대의 신원 정보 이중 확인 ▲예상치 못한 메시지에 대한 주의 ▲다단계 인증 활용 ▲소프트웨어 최신화 유지 ▲하드웨어 월렛으로의 전환 등을 제시했다. 또한, 사용자 스스로가 정보에 기반한 판단력을 키우고, ‘너무 좋아 보이는 제안은 의심하라’는 보안 습관을 가져야 한다고 강조했다.
보고서는 “사회 공학 수법은 점점 더 정교해지고 있으며, 그 표적 또한 단순 개인에서 기관의 개발자나 자금 총괄자까지 확장되고 있다”며, 이로 인해 전체 DAO(탈중앙화 자율조직)나 핫 월렛 시스템까지 위협받는 현실을 지적했다. 특히 사회 공학 공격은 피해 회복이 불가능한 특성을 가진 가상자산 생태계의 특성과 맞물려 그 피해가 더욱 심각해질 수 있다.
크립토닷컴 리서치는 최종적으로 “사이버 공격의 절반 이상이 인간의 실수에서 비롯되며, 교육과 인식 제고가 가장 강력한 방어 수단”이라고 결론지었다. 가상자산을 안전하게 유지하려면 단순한 기술적 방어를 넘어, 사용자 스스로의 경계심과 최신 정보에 대한 민감성을 갖춰야 하는 시대가 도래한 것이다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>