사이버 범죄의 진화
최근 사이버 범죄자들은 암호화폐 사용자를 대상으로 점차 교묘한 수법을 사용하고 있으며, 그중 일부는 블록체인 보안 회사로 위장하고 있습니다. 이들의 주 목표는 자산을 훔치고 피해자에게 누명을 씌우는 것입니다. 이러한 변화는 암호화폐 관련 손실이 급증하는 가운데 발생하고 있습니다. 2025년 5월에만 해커와 사기꾼들이 사용자로부터 2억 4천 4백만 달러 이상을 빼앗았다는 보고가 있으며, 이는 블록체인 보안 회사인 PeckShield에 의해 밝혀졌습니다. 이로 인해 연초 이후 총 손실액은 20억 달러 이상에 달합니다.
사칭 보안 회사의 전술
사칭한 보안 회사들은 블록체인 보안 회사 SlowMist의 창립자인 유시안(Yu Xian)이 6월 1일 공개한 사기 X(구 Twitter) 계정 목록을 통해 경고받았습니다. 그는 이러한 계정들이 신뢰할 수 있는 보안 서비스를 제공하는 척하며 피해자를 대상으로 속임수를 쓴다고 설명했습니다. 유시안은
“이들은 사용자가 지갑 도난과 같은 보안 문제를 해결할 수 있도록 도와줄 수 있다고 주장하지만, 결국 사용자가 2차 피해를 입도록 만듭니다”
라고 덧붙였습니다.
이 사기꾼들은 종종 사용자가 지갑 도난을 신고하는 공개 스레드에 댓글을 달아 피해자를 유인합니다. 이후 그들을 가짜 서명 확인 도구로 유도하며, 이 가짜 도구는 Revoke와 같은 플랫폼을 모방하여 사용자에게 혼란과 긴급함을 불러일으킵니다. 심지어 사용자가 정당한 서비스와 교차 확인을 하더라도, 여전히 피해자가 되는 경우가 많습니다. 이는 정당한 서비스에서 놓쳤던 무언가를 발견했다고 믿게 만드는 phishing 도구의 영향 때문입니다.
신뢰와 방어에 대한 조언
SlowMist는 이 사칭자들이 ZachXBT와 같은 실제 보안 전문가의 프로필을 복사해 신뢰를 얻는 경우도 있다고 경고했습니다. 이들의 전술은 속도, 공황, 그리고 신뢰를 기반으로 하여 피해자가 비판적으로 사고할 여지를 거의 남기지 않습니다. 유시안은
“모두가 도난당하지 않기를 바랍니다. 만약 우연히 도난당했다면, 침착함을 유지하고 쉽게 누군가를 믿지 말아야 합니다”
라고 조언했습니다.
범죄 연루 시도와 예방 조치
한편, 일부 공격자들은 단순히 자금을 훔치는 것에 그치지 않고 피해자를 범죄 활동에 연루시키려는 시도를 하기도 합니다. 유시안은 사기꾼들이 종종 피해자가 범죄 활동에 연루된 것처럼 보이도록 잘못된 단서를 심기 때문에, 이는 법 집행의 노력을 좌절시키고 피해자에게 추가적인 트라우마를 유발하기 위해 설계된 것이라고 설명했습니다. 이를 극복하기 위해 유시안은 피해자들이 자신의 지갑 주소를 마스킹하여 공개할 것을 권장했습니다. 이렇게 하면 수사관들이 소유권을 검증하고, 조사 중 잘못 식별되는 것을 방지하는 데 도움이 될 수 있습니다.
