하드웨어 지갑 제조사 레저(Ledger)의 최고기술책임자(CTO) 샤를 기예메(Charles Guillemet)가 최근 주의를 당부하고 나섰다. 그는 이더리움(ETH) 개발자인 잭 콜(Zak Cole)을 노린 정교한 피싱 공격 사례를 소개하며 “개인 키를 컴퓨터에 저장하지 말라”고 경고했다. 암호화 자산 탈취를 목적으로 한 공격이 기술력 없이도 저비용으로 실행되는 현실을 여실히 보여주는 사건이다.

해당 공격은 유명 팟캐스트의 출연 요청으로 가장한 피싱 이메일에서 시작됐다. 발신자는 암호화폐 분야 인사와 자주 소통하는 스트리밍 플랫폼 스트림야드(StreamYard)의 링크를 제공했고, 수신자에게 데스크톱 애플리케이션 설치를 유도했다. 링크 클릭 후 나타난 페이지에는 오류 메시지가 표시되며 앱 설치를 집요하게 요구했다.

콜은 해당 설치 파일을 테스트 컴퓨터에서 실행했고, 결과는 예상대로였다. 내부에는 숨겨진 악성 스크립트가 포함돼 있었으며, 터미널 아이콘까지 위장된 가짜 macOS 프로그램이었다. 이 스크립트는 지갑 파일뿐 아니라 개인 메시지, 사진 등 민감 정보를 수집해 공격자의 서버로 전송하는 방식으로 작동했다.

더 충격적인 사실은 이 같은 악성코드가 전문 해커의 산물이 아닌 ‘렌탈 악성코드’였다는 점이다. 이를 이용한 공격자는 월 3,000달러(약 417만 원)의 비용만으로도 공격을 실행한 것으로 드러났다. 다시 말해, 전문 기술 없이도 기본적인 자금만 있다면 누구나 사이버 공격을 감행할 수 있는 환경이 조성된 셈이다.

콜은 이러한 트렌드를 "서비스형 악성코드(MaaS, Malware-as-a-Service)"의 대표 사례로 꼽으며 “더 이상 고급 기술을 가진 해커만 조심해야 하는 시대가 아니다”라고 지적했다. 레저의 기예메 CTO 또한 "키 저장 위치와 사용 환경에 따라 피해 여부가 결정된다"며 오프라인 보안 강화의 중요성을 거듭 강조했다.

업계 전문가들은 이번 사건이 단순한 피싱 공격 이상의 경고라고 입을 모은다. 고도화된 사이버 위협에 맞서기 위해서는 지갑 보안 강화뿐 아니라, 소셜 엔지니어링 기법에 대한 경계 역시 필수적이라는 분석이다. 암호화폐 환경이 계속 진화하는 만큼, 이용자들도 위협에 대한 인식 수준을 한층 끌어올릴 필요가 있어 보인다.