"암호화폐 피싱으로 작년 연간 112억원 피해"-러 보안업체

ICO 사업 홈페이지를 본뜬 가짜 홈페이지로 암호화폐 입금을 유도하는 피싱 공격 예시. 카스퍼스키랩 제공

[이데일리 이재운 기자] 암호화폐(가상화폐)와 관련해 사칭을 통한 피해규모가 세계적으로 연간 1000만달러(약 112억원)에 달한 것으로 나타났다.

26일 러시아 정보보안 업체 카스퍼스키랩이 밝힌 연구조사 결과에 따르면 지난해 1년간 1000만달러 규모에 상응하는 암호화폐(2만1000이더리움)를 사이버 범죄 세력이 벌어들였다고 밝혔다.

이들은 주변 사람이나 업무 관계 등을 사칭하는 이른바 ‘사회공학(Social Engineering)’적인 방법을 이용한 피싱(Phising) 공격으로 피해자들을 유인했다. 특히 미래의 수익 창출을 꿈꾸며 스타트업에 대한 투자를 물색하는 공개 암호화폐 모집(ICO) 투자자들을 노렸다. 공식 ICO 홈페이지를 본뜬 가짜 홈페이지를 이용하거나, 관계자를 사칭해 전자지갑 입금 주소를 이메일로 전송한 뒤 암호화폐를 입금하도록 유도하는 등의 방식을 취했다.

심지어는 유명인의 소셜미디어(SNS) 계정까지 이용해 암호화폐를 무료로 증정한다며 접근해 교환 대가로 암호화폐를 입금하게 한 뒤 연락을 끊는 사례도 있었다. 테슬라 창업자인 일론 머스크나 텔레그랩 창업자인 파벨 두로프 등의 트위터 계정에 대한 답장(멘션)을 이용한 경우도 있었다.

이창훈 카스퍼스키랩코리아 지사장은 “연구 결과에 따르면 사이버 범죄자들은 최신 동향을 파악하고 가상 화폐 피싱 효과를 극대화할 수 있는 리소스를 개발하는 데 매우 능한 것으로 밝혀졌다”며 “이러한 신종 사기 수법은 단순한 사회공학적 방법을 기반으로 하지만, 피해 규모가 수백만 달러에 달한다는 점에서 일반 피싱 공격과 차별화된다”고 설명했다.

카스퍼스키랩은 주요 주의 수칙으로 △세상에 공짜는 없다는 사실을 명심하고 지나치게 파격적인 제안은 의심해 볼 것 △가상화폐 무료 배포와 관련된 정보는 공식 출처를 확인할 것 △자금을 이체하려는 전자지갑 거래에 제3자가 연결되어 있는지 확인할 것 △항상 △브라우저 주소창의 하이퍼링크 주소와 데이터를 다시 확인할 것 △주소 창에 주소를 잘못 입력하여 실수로 피싱사이트로 이동하는 일이 없도록 탭에 전자 지갑 주소를 미리 저장해 둘 것 등을 조언했다.