영국서 ‘가짜 경찰’ 사칭 피싱... 비트코인 280만 달러(약 39억 원) 탈취

영국에서 사칭 사기에 의해 비트코인(BTC) 약 2억 7,820만 원(200만 파운드, 약 2.8백만 달러)이 탈취되는 일이 발생했다. 가짜 경찰 행세와 사회공학 기법을 조합한 이번 사건은, 여전히 암호화폐 영역이 사이버 범죄에 취약함을 극명하게 보여준다.

이 사건은 영국 북웨일스 경찰 사이버범죄 수사대에 의해 공개됐다. 발표에 따르면, 한 피해자가 마치 경찰 고위 간부처럼 행동한 사기꾼의 통화에 속아 콜드월렛에 보관 중이던 비트코인을 송금하게 됐다. 사기범은 체포한 범인의 휴대폰에서 피해자의 신분증을 발견했다며 정보를 유출당했을 가능성을 높이 시사했고, 이를 통해 피해자의 불안을 자극했다.

이어 그는 피해자의 암호화폐를 ‘보호’하겠다는 명목으로 특정 웹사이트 링크를 보냈다. 피해자가 그 사이트에 접속해 콜드월렛의 시드 문구를 입력하자, 곧바로 비트코인 약 2억 7,820만 원(200만 파운드, 280만 달러 상당)을 탈취당한 것으로 전해졌다.

영국 경찰은 현재 범인의 자금을 추적 중이며, 시민들에게 "국가지도자가 암호화폐 보유 현황을 직접 문의하거나, 시드 문구를 요구하는 일은 절대 없다"며 주의를 당부했다. 또한, 모르는 번호로 걸려온 전화를 받을 때는 무조건적인 신뢰를 피하고, 공식 창구를 통해 사실 여부를 확인하는 것이 중요하다고 강조했다.

이와 같은 ‘사회공학 기법’ 기반의 피싱 공격은 단일 사건에 그치지 않는다. 지난해 말부터 올해 초까지 코인베이스(Coinbase) 사용자들을 대상으로 유사 기법이 사용되며 6,500만 달러(약 904억 원)의 손실이 발생했다. 또, 인도의 암호화폐 거래소 코인DCX(CoinDCX) 소속 엔지니어가 신원 사칭 전화를 받고 4,400만 달러(약 611억 원) 상당의 손실을 입었다는 보고도 있다.

최근에는 고령 투자자가 유사 수법으로 3억 3,000만 달러(약 4,587억 원) 상당의 비트코인을 잃은 사건도 알려지며, 공격 수법이 고도화되고 있음을 보여준다.

업계 전문가들은 “이런 피해는 기술이 아닌 ‘심리적 약점’을 파고드는 방식”이라며, 시드 문구는 어떤 상황에서도 제3자에게 제공해서는 안 된다고 경고한다. 사용자는 언제라도 의심스러운 연락을 받을 경우 즉시 통화를 종료하고, 해당 기관의 공식 채널을 통해 사실을 확인하는 습관을 길러야 한다.

이번 사태는 암호화폐 보관 방법이 아무리 안전하더라도, 사용자의 판단 착오 하나로 모든 자산이 사라질 수 있다는 현실을 다시금 상기시키고 있다.