X, 첫 암호화폐 언급 계정 자동 잠금…피싱 사기 차단 나선다

소셜미디어 X가 ‘암호화폐(crypto) 피싱’ 차단을 위한 강력한 보안 조치를 도입한다. 계정 탈취 후 사기 토큰을 홍보하는 공격을 원천 봉쇄하겠다는 전략이다.

X의 제품 총괄 니키타 비어(Nikita Bier)는 최근 “계정이 생성 이후 처음으로 암호화폐를 언급할 경우 자동으로 잠금 처리된다”고 밝혔다. 해당 계정은 추가 인증 절차를 거쳐야 다시 게시가 가능하다. 그는 이번 기능이 “현재 공격의 ‘99% 유인’을 제거할 것”이라고 강조했다.

이번 조치는 한 이용자가 직접 겪은 피해 사례에서 촉발됐다. 해당 사용자는 ‘저작권 위반 통보’로 위장한 피싱 이메일에 속아 로그인 정보를 입력했고, 공격자는 정교하게 구현된 가짜 로그인 페이지를 통해 2단계 인증 코드까지 탈취했다. 이후 계정을 장악한 뒤 사기성 암호화폐 프로젝트를 홍보했다.

반복되는 ‘계정 탈취→코인 홍보’ 패턴

이 같은 ‘암호화폐 피싱’은 X에서 오랫동안 반복된 문제다. 과거 트위터 시절부터 이어진 대표적 수법은 ‘더블 유어 머니’ 사기로, 일정 금액을 보내면 더 큰 금액을 돌려주겠다고 유도한다. 최근에는 밈코인 또는 가짜 에어드롭 홍보로 진화했다.

특히 유명 인물을 사칭한 계정은 신뢰를 악용하는 핵심 도구다. 정교하게 위장된 링크를 통해 사용자를 가짜 플랫폼으로 유도하고, 자금을 탈취하는 사례가 빈번하다. 암호화폐 거래는 ‘되돌릴 수 없다’는 특성상 피해 복구가 사실상 불가능하다.

대표적 사건은 2020년 발생한 대규모 해킹이다. 당시 해커는 트위터 내부 시스템에 침투해 애플, 버락 오바마, 일론 머스크 계정을 포함한 주요 계정을 장악했고, 비트코인(BTC) ‘가짜 에어드롭’을 홍보해 약 10만 달러(약 1억5094만원)를 편취했다. 해당 공격자는 이후 5년형을 선고받았다.

“계정 탈취해도 쓸모 없게”…보안 전략 전환

X는 그동안 봇 계정 정리, API 제한, 이상 행동 탐지 등 다양한 보안 강화 조치를 시행해왔다. 이번 ‘자동 잠금’ 기능은 한 단계 더 나아가, 탈취된 계정 자체를 ‘무력화’하는 데 초점을 맞췄다.

비어는 또 구글을 겨냥해 “피싱 이메일을 사전에 차단하지 못하고 있다”며 책임론을 제기했다. 이메일 단계에서 공격을 막지 못하는 점이 사용자 피해를 키우고 있다는 지적이다.

이번 조치는 암호화폐 시장 전반의 ‘신뢰 리스크’를 줄이는 시도로 해석된다. 다만 정상 이용자의 불편을 얼마나 최소화할 수 있을지가 관건이다. X의 강경한 접근이 실제로 피싱 사기를 얼마나 줄일지 주목된다.

TP AI 유의사항

TokenPost.ai 기반 언어 모델을 사용하여 기사를 요약했습니다. 본문의 주요 내용이 제외되거나 사실과 다를 수 있습니다.