최근 암호화폐 이용자를 노린 피싱 사기가 다시 고개를 들고 있다. 블록체인 보안업체 SlowMist의 최고보안책임자(CSO)는 최근 MetaMask를 사칭해 사용자의 '지갑 복구 구문'을 탈취하려는 시도가 확인되고 있다며 각별한 주의를 당부했다.
지갑 사용 경험이 많은 이용자라면 쉽게 눈치챌 수 있는 수법이지만, 지갑 구조에 익숙하지 않은 초보 투자자들은 실제로 피해를 입을 가능성이 높다는 설명이다.
![접속 주소를 교묘하게 바꾸는 '타이포스쿼팅(Typosquatting)' 수법 예시. [사진=코박]](https://image.inews24.com/v1/4d2345aa49e148.jpg)
이번에 유행하는 피싱 수법은 비교적 정교하다. 공격자들은 다크웹이나 과거 해킹된 암호화폐 서비스에서 유출된 개인정보를 활용해 공격 대상을 선별한 뒤, 메타마스크를 사칭한 '2단계 인증(2FA) 보안 확인' 이메일을 발송한다.
이메일에 포함된 보안 경고는 모두 가짜지만, 형식은 실제 공지와 유사해 사용자를 안심시키는 데 초점이 맞춰져 있다. 사용자가 안내에 따라 2단계 인증 절차를 진행하면, 보안 설정을 '완료'해야 한다는 명목으로 추가 인증을 요구하며 '지갑 복구 구문'을 입력하라는 화면이 나타난다. 이 단계에서 복구 구문을 입력하는 순간, 지갑에 보관돼 있던 자금은 즉시 외부로 유출된다.
지갑 복구 구문은 암호화폐 지갑을 처음 생성할 때 제공되는 12개 또는 24개의 영어 단어 조합으로, 흔히 '니모닉'이라 불린다. 이 복구 구문은 단순한 비밀번호가 아니라 지갑의 소유권 자체를 의미한다. 별도의 추가 인증 없이도 복구 구문만 있으면 지갑에 접근해 자금을 이동시킬 수 있기 때문에, 사실상 지갑의 '마스터 키'에 해당한다.
다시 말해 복구 구문을 입력하는 순간, 시스템은 사용자가 진짜 주인인지 추가로 확인하지 않고 로그인과 이체를 모두 허용하게 된다.
이 때문에 보안 전문가들은 "지갑 복구 구문을 요구하는 모든 행위는 무조건 사기"라고 강조한다. 메타마스크 고객센터를 포함해 거래소 직원, 수사기관, 경찰 등 그 어떤 주체도 어떠한 명목으로든 복구 구문을 요구하지 않는다. 예를 들어 업비트 직원이나 외부 기관을 사칭하더라도 복구 구문을 요구한다면 100% 피싱으로 판단해도 무방하다.
복구 구문을 입력해야 하는 상황은 단 하나뿐이다. 사용자가 새 휴대폰이나 새 컴퓨터에 지갑 앱을 직접 설치한 뒤 '기존 지갑 가져오기'를 선택했을 때만 복구 구문을 입력한다. 이 경우를 제외하고는 이메일, 메시지, 웹사이트, 고객센터 등을 통해 복구 구문을 입력하거나 전달해야 할 이유는 전혀 없다.
![접속 주소를 교묘하게 바꾸는 '타이포스쿼팅(Typosquatting)' 수법 예시. [사진=코박]](https://image.inews24.com/v1/40976aa0e1d054.jpg)
도메인 주소를 교묘하게 속이는 사례도 확인되고 있다. 슬로우미스트 측에 따르면 최근 공격자들은 사용자를 피싱 사이트로 유도하면서 주소창에 정상 도메인인 'metamask.io'가 아닌 'metarmask.com'처럼 철자가 하나 다른 주소를 사용하는 방식으로 혼란을 준다.
겉보기에는 거의 동일해 보이지만, 이 미세한 차이가 피해로 이어질 수 있다. 전문가들은 지갑이나 계정과 관련해 조금이라도 의심스러운 요청을 받았을 경우, 내용을 확인하기에 앞서 반드시 도메인 주소부터 정확한지 확인하는 습관을 들여야 한다고 조언한다.
암호화폐 시장이 확대될수록 이를 노린 피싱 수법 역시 진화하고 있다. 특히 지갑 구조와 보안 개념에 익숙하지 않은 초보 투자자일수록 '복구 구문은 절대 공유하지 않는다'는 원칙을 명확히 인식하는 것이 무엇보다 중요하다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기