암호화폐 보안 분석가 잭엑스비티(ZachXBT)에 따르면, 지난 3월 동안 코인베이스(COIN) 사용자들이 당한 피싱 사기 피해액이 총 4,600만 달러(약 672억 원)를 넘어선 것으로 나타났다. 특히 단일 지갑에서 비트코인 400개를 탈취당한 사례가 확인되면서, 업계는 사용자 보안 경각심을 다시금 상기시키고 있다.
이번 사기는 사기 범죄자들이 정상 지갑 주소와 유사한 주소로 자산을 유도하는 ‘주소 중독’ 및 ‘지갑 위장’ 수법을 통해 이뤄졌다. 모든 사기 정황은 체인상에서 포착됐으며, 첫 피해는 지난달 28일 확인됐다. 당시 익명의 피해자가 비트코인 400.099개(약 3,490만 달러, 한화 약 509억 원)를 도난당했고, 이후 이와 유사한 수법의 피해 사례가 연이어 감지돼 총 손실 규모가 급격히 늘어났다.
이에 대해 코인베이스 측은 "우리는 해당 사례에 대한 보고를 인지하고 조사를 진행 중"이라는 공식 입장을 밝혔다. 재클린 세일스 홍보책임자는 “코인베이스는 절대 전화나 메시지를 통해 로그인 정보나 2단계 인증코드, API 키 등을 요구하지 않는다”며 “이 같은 요청을 받는다면 100% 사기이므로 즉시 중단해야 한다”고 강조했다.
잭엑스비티는 올해 초에도 지난해 12월부터 올해 1월까지 이른바 ‘고신뢰 도난’ 사건으로 약 6,500만 달러(약 950억 원) 상당의 피해가 발생했다고 지적한 바 있다. 하지만 그는 본인의 데이터는 온체인 분석과 DM 제보에 국한돼 있어 실제 피해 규모는 훨씬 클 수 있다고 덧붙였다.
코인베이스는 블로그를 통해 사용자가 사기 피해를 줄이기 위해 전용 이메일 계정 사용, 2단계 인증 활성화, 주소 허용리스트 설정, ‘코인베이스 볼트(Coinbase Vault)’ 이용 등을 권장하고 있다. 특히 주소 중독 공격의 경우 지난 3월 한 달간 암호화폐 이용자들이 약 120만 달러(약 17억 5,000만 원)를 추가로 잃은 것으로 분석돼, 해당 수법의 위험성도 더욱 부각되고 있다.
더불어 피싱 범죄자들이 유력 브랜드를 사칭하는 수법이 늘고 있다는 점도 주목해야 한다. 코인베이스는 암호화폐 업계에서 가장 많이 사칭된 브랜드였으며, 메타(Meta)는 무려 이보다 25배 이상 많은 공격을 받은 것으로 알려졌다. 이러한 위협은 특히 글로벌 대형 브랜드의 신뢰를 악용한 사회공학적 기법을 동반하고 있어 사용자 주의가 필수적이다.
올해에만 피그부처링(Pig butchering)이라 불리는 고도화된 피싱 사기에선 20만 건 이상 사례가 접수됐고, 총 55억 달러(약 8조 300억 원) 상당의 피해가 발생했다는 보고도 나온 바 있다. 이처럼 사기 수법이 날로 정교해지고 있는 만큼, 사용자의 자산을 지키기 위한 시스템적 대응과 경계 심화가 절실히 요구된다.