출처=픽사베이(Pixabay)
출처=픽사베이(Pixabay)

최근 암호화폐 개인지갑을 노린 피싱(Phishing)으로 피해를 입는 투자자들이 늘어나고 있어 주의가 요구된다. 디파이(Defi) 투자자 등 암호화폐에 익숙한 이들조차 피해를 보고 있다. 

피싱은 해커가 가짜 사이트를 만들어 피해자의 정보 등을 탈취하는 걸 뜻한다. 암호화폐 보안기업 웁살라시큐리티는 “최근 개인지갑을 탈취하는 사례가 여러 건 확인됐다”며 “지난 9일에도 한 이용자가 정식 사이트가 아닌 사칭 사이트에서 지갑을 다운 받았고, 이 지갑에 넣어둔 비트코인이 자동으로 출금됐다”고 밝혔다.

이용자가 새 암호화폐 전자지갑을 만들면 개인키(비밀번호)와 함께 시드 문구가 생성된다. 보통 12개 단어의 조합인 시드 문구(니모닉 코드)는 개인키를 잃어버려 복원할 때 사용한다. 은행계좌의 비밀번호를 새로 만들 때, 30개로 이뤄진 보안카드의 숫자 조합을 입력해 소유주를 증명하는 것과 유사한다.

은행 보안카드. 출처=씨티은행
은행 보안카드. 출처=씨티은행

해커는 피해자가 피싱 사이트에서 새 암호화폐 전자지갑를 만들게 유도한 후 시드문구를 탈취한 것으로 보인다. 앞서 웁살라시큐리티는 지난 2월 보고서에서 메타마스크 피싱 사이트를 만들어 구글 애드를 통해 퍼뜨리고 암호화폐를 탈취한 사례를 소개했다.

웁살라시큐리티 관계자는 “피싱 사이트가 구글 애드와 같은 공신력 있는 플랫폼을 통해 광고되고, 실제 웹사이트와 비슷해서 이용자가 분간하기 어려울 수 있다”고 말했다. 

개인키를 복원할 때를 제외하고 시드 문구를 요구한다면 주의해야 한다. 그는 “그 어떤 지갑 서비스도 이용자에게 시드 문구 입력을 요청하지 않는다”며 “이런 경우 악의적 행위로 인식하고 반드시 유의해야 한다”고 말했다.

또한 그는 여러 지갑에 자산을 분배해둘 것을 권유했다. 그는 “하나의 지갑에 모든 암호화폐를 넣고 사용하다가 피싱 사기를 당할 경우 피해 손실이 치명적일 수 있다”고 말했다.

 

코박 해킹돼 피싱 사이트 홍보

지난 7일 암호화폐 커뮤니티인 코박의 관리자 계정이 해킹돼 피싱 사이트를 홍보하는 사고가 발생했다. 코박 관계자는 코인데스크코리아에 “해커는 코인을 보내면 높은 수익률을 보장해주겠다는 피싱 사이트를 만들어 자금을 탈취했다”고 말했다.

같은날 암호화폐 투자자들이 모인 한 텔레그램 그룹채팅방에 “(코박을 통해 들어간 사이트에) 메타마스크 지갑을 연동하자 1200만원어치 (코인이) 다 빠져나갔다”는 글이 올라왔다. 다만 이 사례가 코박 공지를 통한 것인지는 확인되지 않았다. 

코박 관계자는 "10일까지 총 5명의 피해자가 접수됐지만 메타마스크를 통한 자금 탈취 사례는 확인되지 않았다"며 “코박은 피해가 접수되면 관련 자료를 피해자에게 제공해 신고를 돕고 경찰 수사에 적극 협조할 예정”이라고 말했다. 코박은 이번 해킹을 통한 총 피해액을 약 1억2000만원으로 추정하고 있다.

 
## 기사 수정(3월20일) : 당초 이 기사는 [코인 ‘고수’도 털리는 메타마스크 해킹 주의보]이라는 제목으로 게재됐습니다. 메타마스크가 해킹됐고, 백도어가 설치돼 암호화폐를 탈취당했다고 보도했습니다. 

그러나 보안업체 웁살라 시큐리티는 메타마스크 해킹이 아니라, 메타마스크와 비슷하게 생긴 피싱 사이트를 활용한 탈취라는 걸 알려왔습니다. 이에 기사 제목과 내용을 정정했습니다. 혼선을 드려 사과드립니다.

제보, 보도자료는 contact@coindeskkorea.com
저작권자 © 코인데스크코리아 무단전재 및 재배포 금지