암호화폐 지갑 노리는 '제로 클릭' 해킹… 클릭 없이도 자산 탈취

디지털 자산의 저장 수단인 암호화폐 지갑이 점점 더 정교해지는 한편, 이를 노리는 해킹 수법도 함께 진화하고 있다. 최근 각광받고 있는 해킹 방식 중 하나는 ‘제로 클릭(Zero-Click) 공격’으로, 사용자의 클릭과 같은 행위 없이도 공격이 이루어지는 것이 특징이다. 이처럼 보이지 않게 침투하는 공격은 피해 사실조차 인지하기 어렵다는 점에서 더욱 심각하다. 이번 기사에서는 제로 클릭 공격의 작동 원리와 암호화폐 지갑이 주요 타깃이 되는 이유, 그리고 예방을 위한 실질적 대응 방안을 살펴본다.

제로 클릭 공격은 이메일을 열거나 알 수 없는 링크를 클릭하는 등의 사용자의 직접적인 행동 없이 발생한다. 일상적으로 수신되는 메시지나 이미지, 또는 자동으로 처리되는 데이터가 악성 코드로 둔갑해 실행되는 방식이다. 이러한 공격은 스마트폰 메시징 앱, 이미지 렌더링 엔진, 그리고 지갑 애플리케이션의 통신 체계 등에 내재된 보안 취약점을 노리는 경우가 많다.

암호화폐 지갑은 높은 금전적 가치를 보유하고 있음에도 상대적으로 자원이 제한돼 있기 때문에 해커 입장에서 매우 매력적인 대상이다. 기존의 주된 공격 방식은 피싱이나 키 탈취였지만, 최근에는 탈중앙화 지갑의 통신 프로토콜을 악용하는 사례가 증가하고 있다. 일부 사례에서는 사용자의 개입 없이도 인증되지 않은 메시지를 처리하면서 내부 명령어가 실행되고, 서명 요청이 자동으로 처리되는 현상이 발견됐다. 이런 상황에서는 사용자가 자신도 모르게 자산을 이동시키는 트랜잭션을 승인하게 될 수 있다.

공격 방식은 크게 네 단계로 설명할 수 있다. 먼저, 해커는 목표가 되는 지갑 앱 또는 운영체제의 취약점을 파악한다. 이후 정상적인 데이터로 위장한 악성 패킷을 만들어 전달하며, 단순 메시지 수신이나 내부 데이터 처리 과정에서 악성 코드가 활성화된다. 이 코드는 사용자의 서명 권한을 가로채거나 지갑 내 정보를 외부로 전송하는 데 사용될 수 있다. 특히 지갑이 암호 서명을 자동으로 제출하게끔 유도된 사례는 자산을 도둑맞고도 이상 징후를 느끼지 못하게 만들었다.

이미 실전에서 발생한 제로 클릭 공격 사례도 적지 않다. 한 보안 연구팀은 모바일 기반의 특정 지갑 애플리케이션이 JSON-RPC 메시지를 처리하는 과정에서, 별도의 사용자 조작 없이도 명령어가 실행될 수 있음을 확인했다. 이를 활용하면 공격자는 지갑 주소를 무단으로 변경하거나, 보유자의 의지와 무관하게 암호화폐 전송 트랜잭션을 발생시킬 수 있다. 더욱이 기록과 로그에도 별다른 이상이 남지 않아 피해 사실을 오랜 시간이 지나서야 알아차리는 경우도 있다.

다양한 방어 전략이 권고되고 있지만, 제로 클릭 공격에 대응하는 일은 결코 간단하지 않다. 우선 소프트웨어 업데이트와 보안 패치를 항상 최신 상태로 유지하는 것이 기본이다. 또한 감사를 완료한 오픈소스 기반 지갑 애플리케이션 사용이 권장되며, 외부 명령이나 자동 응답을 차단할 수 있도록 트랜잭션 필터링 기능이 포함돼 있는지 확인해야 한다. 물리적인 확인 절차가 필요한 하드웨어 지갑 병용도 하나의 방법이다. 이는 자동화를 기반으로 한 공격을 방지하는 데 있어 유효한 대안으로 평가받는다.

제로 클릭 공격은 기존 사용자 중심의 보안 관점을 넘어, ‘설계 단계에서부터 안전한 시스템’을 요구하는 새로운 기준을 제시하고 있다. 보안 업계 전문가들은 기기 자체의 보안 모델을 다시 설계할 필요가 있다고 강조하며, 사용자 승인이 없는 시스템 명령은 원천 차단하는 것이 중요하다고 조언한다.

결국, 제로 클릭 공격이 드러내는 진짜 문제는 기술이 아닌 인식의 부족이다. 클릭 한 번 하지 않아도 자산이 유출되는 현실은 암호화폐 지갑의 보안 방식이 전면적으로 재편돼야 함을 의미한다. 안전한 환경은 시스템이 보장해야지, 사용자의 주의만으로는 부족하다. ‘방관자는 가장 먼저 당한다’는 경고를 암호화폐 시대의 보안 원칙으로 삼아야 할 때다.