해킹과 사회 공학으로부터 가상자산을 보호하는 방법

링크복사
공유
추천

링크가 복사되었습니다.

정책

해킹과 사회 공학으로부터 가상자산을 보호하는 방법

크립토닷컴(Crypto.com)

2025.09.23 10:44:42

사회 공학은 해커가 사용자를 꾀어 자금을 훔치는 데 활용되는, 가상자산 분야의 위험 요소입니다. 해킹과 사기로부터 가상자산을 보호하는 방법을 알아봅니다.

핵심 요점

- 사회 공학은 인간의 행동과 심리를 조종해 아무리 안전한 시스템도 우회하는 가상자산 분야의 큰 위협
중 하나입니다.

- 일반적인 사회 공학 수법에는 피싱, 사칭, 유혹, 빌미 제시 등이 있는데, 공격자들은 이러한 방법을 사용하여
로그인 정보, 비밀 키, 가상자산 자금을 훔칩니다.

- 가장 잘 알려진 2025년 바이비트(Bybit) 해킹은 북한의 라자루스 그룹이 사회 공학으로 신뢰받는 한
서드파티 개발자를 조종해 15억 달러(USD)의 가상자산을 훔친 사건이었습니다.

- 이러한 해킹에 대비하려면 신원 확인 절차와 강력한 보안 조치를 사용하고, 개인정보를 보호하며, 철저한
조사를 통해 새로운 사기에 늘 주시해야 합니다.

소개

가상자산은 재정적 자유를 제공하지만, 새로운 방법으로 사용자를 착취하려는 사이버 범죄자의 표적이 되기도 합니다. 일반 은행 시스템과는 달리, 가상자산 거래는 되돌릴 수 없으므로 보안이 무엇보다 중요합니다. 가상자산 분야에서 가장 큰 위협 중 하나는 시스템 해킹이 아니라 사람들을 조종하는 사회 공학 수법입니다.

피싱 사기에서 사칭에 이르기까지 사회 공학은 대규모 가상자산 탈취 사건의 원인이 되어 왔는데, 2025년 초에 발생한 바이비트 해킹은 15억 달러의 손실을 초래하기도 했습니다.

가상자산 세계에서 활동하는 사람이라면 사기가 어떤 식으로 진행되고 이를 예방하려면 어떻게 해야 하는지 이해하고 있어야 합니다.

이 글에서는 사회 공학이 가상자산 해킹으로 이어지는 과정을 실제 사례와 함께 소개하고, 자금을 보호하기 위한 실질적인 팁을 제시합니다.

사회 공학이란?

사회 공학은 민감한 정보나 시스템, 물리적 위치에 접근하기 위해 사람의 심리를 이용하고 조종하는 기술입니다. 사회 공학 수법은 기술적 취약성을 공격하는 게 아니라 믿음, 유익함, 두려움, 호기심과 같은 인간의 취약성을 공격합니다.

일반적인 사회 공학 수법으로는 다음과 같은 것들이 있습니다.

- 피싱: 자격 증명을 도용하기 위해 설계된 가짜 이메일 또는 메시지입니다.

- 프리텍스팅: 정보를 빼내기 위해 허구의 시나리오를 만드는 기법입니다.

- 베이팅: 무료 토큰이나 소프트웨어와 같은 솔깃한 제안으로 피해자를 꾀어내는 수법입니다.

- 테일게이팅: 허가받은 사람의 뒤를 따라 제한 구역으로 들어가는 수법입니다.

- 퀴드 프로 쿼: 정보를 대가로 서비스를 제공하는 수법입니다.

- 사칭: 신뢰할 만한 사람(예: 고객센터 직원 또는 팀 리더)으로 가장하여 정보를 빼내는 수법입니다.

이러한 공격은 인간의 심리적 취약점을 악용하여 기술적 보안 조치를 우회하기 때문에 특히 위험합니다.

효과적인 예방법으로는 보안 인식 교육, 검증 절차 마련, 비정상적인 요청을 의심하는 문화 조성 등이 있을 수 있습니다.

사회 공학이 가상자산 해킹으로 이어지는 과정

사회 공학은 블록체인 시스템의 기술적 결함이 아닌 인간의 취약점을 목표로 삼기 때문에 가상자산 해킹에서 중요한 역할을 합니다.

가장 흔히 볼 수 있는 사칭 수법은 디스코드, X, 텔레그램 같은 플랫폼에서 자신을 거래소 직원이나 팀 리더라고 속여 사용자가 민감한 데이터를 공유하거나 악성 링크를 클릭하도록 설득하는 방법입니다.

합법적인 거래소를 모방한 그럴 듯한 피싱 웹사이트를 만들어 비밀 키와 시드 문구를 훔치거나 피해자의 전화번호를 조작해 SIM 교체 기술로 다단계 인증을 우회합니다. 또한 많은 사기꾼이 가짜 ICO(첫 코인 공개)나 투자자의 자금과 함께 사라지는 독점 사전 판매 등의 허위 투자 기회를 홍보합니다.

기술적으로 더 정교한 공격자들은 사용자를 꾀어 악성 탈중앙화 애플리케이션(DApp)에 지갑을 연결하거나 위험한 스마트 계약 상호작용을 승인하게 만들어 계정의 자금을 탈취합니다. 여기서 한 발 더 들어가, 개발자와 자금 관리자를 타겟으로 삼아 탈중앙화 자율 조직(DAO) 전체 또는 거래소의 핫 월렛을 위험에 빠뜨리는 사회 공학 수법도 있습니다.

가상자산 세계는 반환이라는 것이 없습니다. 자산을 이체하면 그것으로 끝입니다. 사회 공학이 매우 효과적이면서도 위험한 이유가 여기에 있습니다.

주목할 만한 가상자산 해킹 사례: 라자루스 그룹 사회 공학 해킹

2025년 2월, 유명한 가상자산 거래소 바이비트는 중대한 보안 침해를 입어 15억 달러 상당의 이더리움을 도난당했습니다.

조사 결과, 라자루스 그룹 또는 트레이더트레이터로 알려진 북한의 국가 지원 해킹 그룹이 이 공격의 주동자였던 것으로 밝혀졌습니다. 이 공격은 다음과 같은 사회 공학 수법을 포함한 정교한 공급망 공격을 통해 실행되었습니다.

1. 개발자 타겟팅: 공격은 신뢰할 수 있는 오픈 소스 커트리뷰터로 위장한 사람에게 Safe{Wallet} 개발자가
사회 공학 공격을 당하면서 시작되었습니다. 개발자는 공격자의 설득에 넘어가 자신의 Mac 컴퓨터에서
악성 도커 파이썬 프로젝트를 실행했습니다.

2. AWS 세션 가로채기: 개발자의 컴퓨터에 침입한 해커들은 Safe{Wallet}에서 사용하는 클라우드 인프라
플랫폼인 아마존 웹 서비스(AWS)의 임시 세션 토큰을 빼냈습니다. 그리고 이 토큰으로 다단계 인증(MFA)을
우회해 20일에 가까운 시간 동안 중요한 시스템에 조용히 접근할 수 있었습니다.

3. 트랜잭션 프로세스 조작: 해커들은 Safe{Wallet}의 UI(바이비트가 콜드 월렛 거래를 승인할 때 사용하는
도구)에 악성 자바스크립트를 주입하여 서명한 사용자가 자신도 모르게 해커에게 자금을 보내도록 했습니다.

소프트웨어 공급망을 표적으로 삼고 사람들의 신뢰를 악용해 전통적인 보안 조치를 효과적으로 우회함으로써 역사상 최대 규모의 가상자산 강탈 사건을 일으킨 것입니다.

가상자산 세계에서 사회 공학 사기를 식별하고 방지하는 방법

1. 신원 확인

상대가 특히 민감한 정보를 요청하는 경우에는 항상 신원을 재확인합니다. 상대가 제공한 링크나 이메일이 아닌 공식 연락처를 사용합니다.

- SMS가 아닌 인증 앱을 사용하여 다단계 인증을 활성화합니다.

- 지원되는 경우 패스키를 사용해 보안을 강화하는 방법도 고려해 보세요.

2. 개인정보 주의하기

사기꾼은 공격의 설득력을 높이기 위해 소셜 미디어에서 정보를 채굴합니다. 고객센터 직원이라고 주장하는 사람에게조차 절대로 시드 문구, 비밀번호, 비밀 키를 알려주지 마세요.

각 계정별로 고유하고 강력한 비밀번호를 사용하고, 비밀번호 관리자 이용도 고려하세요.

3. 예상치 못한 메시지는 의심하기

특히 요청하지 않은 DM 또는 이메일에 포함된 링크나 첨부 파일에는 더 주의하세요. 의심스러울 때는 신뢰할 수 있는 URL을 직접 입력해서 이동하세요. 도메인 이름이나 이메일 주소가 철자만 약간 다른 경우 피싱일 수 있으니 주의하세요.

4. 보안 상태 유지하기

지갑 앱부터 브라우저 확장 프로그램에 이르기까지 모든 것을 최신 상태로 업데이트하세요. 업데이트 패치는 알려진 취약점을 해결할 수 있습니다. 보안을 최대한 강화하려면 하드웨어 월렛를 사용하고 스마트 계약 상호작용을 승인할 때는 한 번 더 생각해 보세요.

5. 최신 정보 파악하기

사회 공학 수법이 끊임없이 진화하고 있는 만큼, 최신 사기 수법에 대한 정보를 파악하세요. 의심스럽거나 믿기지 않을 정도로 좋다면, 사기일 가능성이 높습니다.

결론

사회 공학은 사이버 범죄자가 보안 조치를 우회하고 가상자산을 훔치는 가장 효과적인 방법 중 하나로 남아 있습니다. 바이비트 해킹에서 볼 수 있듯이, 사람의 신뢰를 악용하면 첨단 보안 시스템을 갖춘 대형 기관도 피해를 입을 수 있습니다.

경계심을 유지하고, 신원을 확인하며, 개인정보를 보호하고, 강력한 보안 상태를 유지하면 표적이 될 위험을 크게 줄일 수 있습니다. 교육은 최고의 방어입니다. 새로운 사기에 대한 정보를 계속 습득하고 아무리 설득력이 있어도 예상치 못한 요청은 항상 의심하세요.

가상자산 세계에서 보안은 타협할 수 없는 사항이므로 모든 예방 조치를 동원해 자산을 보호하시기 바랍니다. 최신 정보를 습득하고, 의심하며, 늘 안전에 유의하세요.

직접 조사하고 신중히 검토하세요

본 문서에 제시된 모든 사례는 정보 제공을 위한 것입니다. 이러한 정보 또는 기타 자료를 법률, 세금, 투자, 재무, 사이버 보안 등과 관련된 조언으로 해석해서는 안 됩니다. 본 문서에 포함된 어떠한 내용도 크립토닷컴 이 코인, 토큰 또는 기타 가상자산을 투자, 매수, 매도하라고 권유, 권장, 추천, 제안하는 것으로 해석해서는 안 됩니다. 거주하는 관할지에 따라 가상자산 매매로 발생하는 수익에 양도소득세 등의 세금이 부과될 수 있습니다. 크립토닷컴 상품 또는 기능에 대한 설명은 사례를 보여주기 위한 목적일 뿐이므로 추천, 제안, 권유로 해석해서는 안 됩니다.

과거 실적은 미래 실적을 예측하는 지표가 아니며 미래 실적을 보장하지 않습니다. 가상자산의 가치는 상승 또는 하락할 수 있으며, 가상자산 투자로 투자금 전액 또는 상당액을 잃을 수 있습니다. 모든 투자에 대한 책임은 투자자 본인에게 있으므로 가상자산 투자를 고려할 때는 해당 자산을 직접 조사해 보고 충분히 고려한 후에 최선의 판단을 내리도록 해야 합니다.

블록체인 및 암호화폐에 대한 추가적인 정보는 Crypto.com Korea 유니버시티에서 확인할수 있습니다.